El servicio de seguridad es un servicio, proporcionado por una capa de comunicación de sistemas abiertos, que garantiza la seguridad adecuada de los sistemas o de las transferencias de datos [1] , tal como se define en la Recomendación UIT-T X.800.
X.800 e ISO 7498-2 (Sistemas de procesamiento de información - Interconexión de sistemas abiertos - Modelo de referencia básico - Parte 2: Arquitectura de seguridad) [2] están técnicamente alineados. Este modelo es ampliamente reconocido [3] [4]
Una definición más general se encuentra en la Instrucción CNSS No. 4009 de fecha 26 de abril de 2010 del Comité de Sistemas de Seguridad Nacional de los Estados Unidos de América : [5]
- Una capacidad que admite uno o más de los requisitos de seguridad (confidencialidad, integridad, disponibilidad). Algunos ejemplos de servicios de seguridad son la administración de claves, el control de acceso y la autenticación.
Otra definición autorizada se encuentra en el Glosario de servicios web del W3C [6] adoptado por NIST SP 800-95: [7]
- Un servicio de procesamiento o comunicación que es provisto por un sistema para brindar un tipo específico de protección a los recursos, donde dichos recursos pueden residir con dicho sistema o residir con otros sistemas, por ejemplo, un servicio de autenticación o una atribución y autenticación de documentos basados en PKI. Servicio. Un servicio de seguridad es un superconjunto de servicios AAA. Los servicios de seguridad generalmente implementan partes de las políticas de seguridad y se implementan a través de mecanismos de seguridad.
Terminología de seguridad básica
La seguridad de la información y la seguridad informática son disciplinas que se ocupan de los requisitos de Confidencialidad , Integridad , Disponibilidad , la denominada Tríada CIA, del activo de información de una organización (empresa o agencia) o de la información gestionada por ordenadores respectivamente.
Existen amenazas que pueden atacar los recursos (información o dispositivos para gestionarla) explotando una o más vulnerabilidades . Los recursos pueden protegerse mediante una o más contramedidas o controles de seguridad . [8]
Entonces, los servicios de seguridad implementan parte de las contramedidas, tratando de cumplir con los requisitos de seguridad de una organización. [3] [9]
Terminología básica de OSI
Para permitir que diferentes dispositivos (computadoras, enrutadores, teléfonos celulares) comuniquen datos de manera estandarizada, se han definido protocolos de comunicación .
La organización del UIT-T publicó un gran conjunto de protocolos. La arquitectura general de estos protocolos se define en la recomendación X.200. [10]
Los diferentes medios (aire, cables) y formas (protocolos y pilas de protocolos ) para comunicarse se denominan red de comunicación .
Los requisitos de seguridad son aplicables a la información enviada a través de la red. La disciplina que se ocupa de la seguridad en una red se denomina seguridad de red . [11]
La Recomendación X.800: [1]
- proporciona una descripción general de los servicios de seguridad y los mecanismos relacionados, que pueden ser proporcionados por el modelo de referencia ; y
- define las posiciones dentro del Modelo de Referencia donde se pueden proporcionar los servicios y mecanismos.
Esta Recomendación amplía el campo de aplicación de la Recomendación X.200 para cubrir las comunicaciones seguras entre sistemas abiertos .
Según la Recomendación X.200, en el llamado modelo de referencia OSI hay 7 capas , cada una de las cuales se denomina genéricamente N capa. La entidad N + 1 solicita servicios de transmisión a la entidad N. [10]
En cada nivel, dos entidades (entidad N) interactúan mediante el protocolo (N) transmitiendo unidades de datos de protocolo (PDU). La Unidad de datos de servicio (SDU) es una unidad específica de datos que se ha transmitido desde una capa OSI a una capa inferior y aún no ha sido encapsulada en una PDU por la capa inferior. Es un conjunto de datos que envía un usuario de los servicios de una capa determinada y se transmite semánticamente sin cambios a un usuario del servicio par. La PDU en cualquier capa dada, capa 'n', es la SDU de la capa inferior, capa 'n-1'. En efecto, la SDU es la "carga útil" de una determinada PDU. Es decir, el proceso de cambiar una SDU a una PDU consiste en un proceso de encapsulación, realizado por la capa inferior. Todos los datos contenidos en la SDU se encapsulan dentro de la PDU. La capa n-1 agrega encabezados o pies de página, o ambos, a la SDU, transformándola en una PDU de capa n-1. Los encabezados o pies de página agregados son parte del proceso utilizado para hacer posible obtener datos de un origen a un destino. [10]
Descripción de los servicios de seguridad OSI
Se considera que los siguientes son los servicios de seguridad que se pueden proporcionar opcionalmente dentro del marco del Modelo de Referencia OSI. Los servicios de autenticación requieren información de autenticación que comprende información almacenada localmente y datos que se transfieren (credenciales) para facilitar la autenticación: [1] [4]
- Autenticación
- Estos servicios proporcionan la autenticación de una entidad par que se comunica y la fuente de datos como se describe a continuación.
- Autenticación de entidad par
- Este servicio, cuando es proporcionado por la capa (N), proporciona corroboración a la entidad (N + 1) de que la entidad par es la entidad (N + 1) reivindicada.
- Autenticación del origen de los datos
- Este servicio, cuando es proporcionado por la capa (N), proporciona corroboración a una entidad (N + 1) de que la fuente de los datos es la entidad par declarada (N + 1).
- Control de acceso
- Este servicio brinda protección contra el uso no autorizado de recursos accesibles a través de OSI. Estos pueden ser recursos OSI o no OSI a los que se accede a través de protocolos OSI. Este servicio de protección puede aplicarse a varios tipos de acceso a un recurso (por ejemplo, el uso de un recurso de comunicaciones; la lectura, la escritura o la eliminación de un recurso de información; la ejecución de un recurso de procesamiento) o para todos los accesos a un recurso.
- Confidencialidad de los datos
- Estos servicios proporcionan la protección de datos contra la divulgación no autorizada como se describe a continuación.
- Confidencialidad de la conexión
- Este servicio proporciona la confidencialidad de todos los datos de usuario (N) en una conexión (N)
- Confidencialidad sin conexión
- Este servicio proporciona la confidencialidad de todos los (N) datos de usuario en una única (N) -SDU sin conexión
- Confidencialidad de campo selectivo
- Este servicio proporciona la confidencialidad de los campos seleccionados dentro de los datos de usuario (N) en una conexión (N) o en una única SDU sin conexión (N).
- Confidencialidad del flujo de tráfico
- Este servicio proporciona la protección de la información que podría derivarse de la observación de los flujos de tráfico.
- Integridad de los datos
- Estos servicios contrarrestan las amenazas activas y pueden adoptar una de las formas que se describen a continuación.
- Integridad de la conexión con recuperación
- Este servicio proporciona la integridad de todos los datos de usuario (N) en una conexión (N) y detecta cualquier modificación, inserción, eliminación o reproducción de cualquier dato dentro de una secuencia de SDU completa (con el intento de recuperación).
- Integridad de la conexión sin recuperación
- Como el anterior pero sin intento de recuperación.
- Integridad de conexión de campo selectivo
- Este servicio proporciona la integridad de los campos seleccionados dentro de los datos de usuario (N) de una SDU (N) transferidos a través de una conexión y toma la forma de determinar si los campos seleccionados se han modificado, insertado, eliminado o reproducido.
- Integridad sin conexión
- Este servicio, cuando lo proporciona la capa (N), proporciona garantía de integridad a la entidad solicitante (N + 1). Este servicio proporciona la integridad de una única SDU sin conexión y puede tomar la forma de determinar si se ha modificado una SDU recibida. Además, se puede proporcionar una forma limitada de detección de reproducción.
- Integridad sin conexión de campo selectivo
- Este servicio proporciona la integridad de los campos seleccionados dentro de una única SDU sin conexión y toma la forma de determinar si los campos seleccionados se han modificado.
- No repudio
- Este servicio puede tomar una o ambas formas.
- No repudio con prueba de origen
- El destinatario de los datos recibe una prueba del origen de los datos. Esto protegerá contra cualquier intento por parte del remitente de negar falsamente el envío de los datos o su contenido.
- No repudio con comprobante de entrega
- El remitente de los datos recibe un comprobante de la entrega de los datos. Esto protegerá contra cualquier intento posterior por parte del destinatario de negar falsamente recibir los datos o su contenido.
Mecanismos de seguridad específicos
Los servicios de seguridad pueden prestarse mediante un mecanismo de seguridad: [1] [3] [4]
- Cifrado
- Firma digital
- Control de acceso
- Integridad de los datos
- Intercambio de autenticación
- Acolchado de tráfico
- Control de enrutamiento
- Notarización
El cuadro1 / X.800 muestra las relaciones entre servicios y mecanismos
Servicio | Mecanismo | |||||||
Cifrado | Firma digital | Control de acceso | Integridad de los datos | Intercambio de autenticación | Acolchado de tráfico | Control de enrutamiento | Notarización | |
Autenticación de entidad par | Y | Y | · | · | Y | · | · | · |
Autenticación del origen de los datos | Y | Y | · | · | · | · | · | · |
Servicio de control de acceso | · | · | Y | · | · | · | · | · |
Confidencialidad de la conexión | Y | . | · | · | · | · | Y | · |
Confidencialidad sin conexión | Y | · | · | · | · | · | Y | · |
Confidencialidad de campo selectivo | Y | · | · | · | · | · | · | · |
Confidencialidad del flujo de tráfico | Y | · | · | · | · | Y | Y | · |
Integridad de conexión con recuperación | Y | · | · | Y | · | · | · | · |
Integridad de la conexión sin recuperación | Y | · | · | Y | · | · | · | · |
Integridad de conexión de campo selectivo | Y | · | · | Y | · | · | · | · |
Integridad sin conexión | Y | Y | · | Y | · | · | · | · |
Integridad sin conexión de campo selectivo | Y | Y | · | Y | · | · | · | · |
No repudio. Origen | · | Y | · | Y | · | · | · | Y |
No repudio. Entrega | Y | · | Y | · | · | · | Y |
Algunos de ellos se pueden aplicar a protocolos orientados a conexión, otros a protocolos sin conexión o ambos.
El cuadro 2 / X.800 ilustra la relación entre los servicios y las capas de seguridad: [4]
Servicio | Capa | ||||||
1 | 2 | 3 | 4 | 5 | 6 | 7 * | |
Autenticación de entidad par | · | · | Y | Y | · | · | Y |
Autenticación del origen de los datos | · | · | Y | Y | · | · | Y |
Servicio de control de acceso | · | · | Y | Y | · | · | Y |
Confidencialidad de la conexión | Y | Y | Y | Y | · | Y | Y |
Confidencialidad sin conexión | · | Y | Y | Y | · | Y | Y |
Confidencialidad de campo selectivo | · | · | · | · | · | Y | Y |
Confidencialidad del flujo de tráfico | Y | · | Y | · | · | · | Y |
Integridad de conexión con recuperación | · | · | · | Y | · | · | Y |
Integridad de la conexión sin recuperación | · | · | Y | Y | · | · | Y |
Integridad de conexión de campo selectivo | · | · | · | · | · | · | Y |
Integridad sin conexión | · | · | Y | Y | · | · | Y |
Integridad sin conexión de campo selectivo | · | · | · | · | · | · | Y |
Origen de no repudio | · | · | · | · | · | · | Y |
No repudio. Entrega | · | · | · | · | · | · | Y |
Servicio de seguridad gestionado
Los servicios de seguridad gestionados (MSS) son servicios de seguridad de red que se han subcontratado a un proveedor de servicios.
Ver también
- Control de acceso
- Disponibilidad
- Red de comunicacion
- Protocolo de comunicación
- Confidencialidad
- contramedida
- Integridad de los datos
- Firma digital
- Exploit (seguridad informática)
- Seguridad de información
- Integridad
- ITU-T
- Servicio de seguridad gestionado
- Seguridad de la red
- Modelo OSI
- Protocolo (informática)
- Unidad de datos de protocolo
- Pila de protocolos
- Control de seguridad
- Análisis de requisitos de seguridad
- Unidad de datos de servicio
- Amenaza (computadora)
- Vulnerabilidad (informática)
Referencias
- ^ a b c d X.800: Arquitectura de seguridad para interconexión de sistemas abiertos para aplicaciones CCITT
- ^ ISO 7498-2 (Sistemas de procesamiento de información - Interconexión de sistemas abiertos - Modelo de referencia básico - Parte 2: Arquitectura de seguridad)
- ^ a b c William Stallings Crittografia e sicurezza delle reti Seconda edizione ISBN 88-386-6377-7 Traduzione Italiana a cura di Luca Salgarelli di Cryptography and Network security 4 edición Pearson 2006
- ^ a b c d Protección de los sistemas de información y comunicaciones: principios, tecnologías y aplicaciones Steven Furnell, Sokratis Katsikas, Javier Lopez, Artech House, 2008 - 362 páginas
- ^ Instrucción CNSS No. 4009 de 26 de abril de 2010
- ^ Glosario de servicios web del W3C
- ^ Guía de la publicación especial 800-95 del NIST para servicios web seguros
- ^ Glosario de seguridad de Internet del grupo de trabajo de ingeniería de Internet RFC 2828
- ^ Fundamentos de seguridad de red: aplicaciones y estándares, William Stallings, Prentice Hall, 2007 - 413 páginas
- ^ a b c X.200: Tecnología de la información - Interconexión de sistemas abiertos - Modelo básico de referencia: El modelo básico
- ^ Simmonds, A; Sandilands, P; van Ekert, L (2004). "Una ontología para los ataques a la seguridad de la red". Apuntes de clase en Ciencias de la Computación 3285: 317–323
enlaces externos
- Término en FISMApedia
- Lista de publicaciones y actividades de seguridad del UIT-T