Un servicio de seguridad es un servicio proporcionado por una capa de sistemas abiertos que se comunican y que garantiza la seguridad adecuada de los sistemas o de las transferencias de datos [1], tal como se define en la Recomendación X.800 de la UIT-T
.
La X.800 y la ISO 7498-2 (Sistemas de procesamiento de información – Interconexión de sistemas abiertos – Modelo básico de referencia – Parte 2: Arquitectura de seguridad) [2] están alineadas técnicamente. Este modelo es ampliamente reconocido [3] [4]
Una definición más general se encuentra en la Instrucción CNSS Nº 4009 del 26 de abril de 2010 del Comité de Sistemas de Seguridad Nacional de los Estados Unidos de América : [5]
- Capacidad que respalda uno o más de los requisitos de seguridad (confidencialidad, integridad, disponibilidad). Algunos ejemplos de servicios de seguridad son la gestión de claves, el control de acceso y la autenticación.
Otra definición autorizada se encuentra en el Glosario de servicios web del W3C [6] adoptado por NIST SP 800-95: [7]
- Un servicio de procesamiento o comunicación que proporciona un sistema para brindar un tipo específico de protección a los recursos, donde dichos recursos pueden residir en dicho sistema o en otros sistemas, por ejemplo, un servicio de autenticación o un servicio de atribución y autenticación de documentos basado en PKI. Un servicio de seguridad es un superconjunto de servicios AAA. Los servicios de seguridad generalmente implementan partes de políticas de seguridad y se implementan a través de mecanismos de seguridad.
Terminología básica de seguridad
La seguridad de la información y la seguridad informática son disciplinas que se ocupan de los requisitos de Confidencialidad , Integridad , Disponibilidad , la llamada Tríada CIA, de los activos de información de una organización (empresa u organismo) o de la información gestionada por ordenadores respectivamente.
Existen amenazas que pueden atacar los recursos (información o dispositivos para gestionarla) explotando una o más vulnerabilidades . Los recursos pueden estar protegidos por una o más contramedidas o controles de seguridad . [8]
Por lo tanto, los servicios de seguridad implementan parte de las contramedidas, tratando de lograr los requisitos de seguridad de una organización. [3] [9]
Terminología básica de OSI
Para permitir que diferentes dispositivos (computadoras, enrutadores, teléfonos celulares) comuniquen datos de manera estandarizada, se han definido protocolos de comunicación .
La organización ITU-T publicó un amplio conjunto de protocolos. La arquitectura general de estos protocolos se define en la recomendación X.200. [10]
Los diferentes medios (aire, cables) y formas (protocolos y pilas de protocolos ) para comunicarse se denominan red de comunicación .
Los requisitos de seguridad son aplicables a la información que se envía a través de la red. La disciplina que se ocupa de la seguridad en una red se denomina seguridad de red . [11]
La recomendación X.800: [1]
- proporciona una descripción general de los servicios de seguridad y los mecanismos relacionados que puede proporcionar el Modelo de Referencia ; y
- define las posiciones dentro del Modelo de Referencia donde se pueden prestar los servicios y mecanismos.
Esta Recomendación amplía el campo de aplicación de la Recomendación X.200 para cubrir las comunicaciones seguras entre sistemas abiertos .
De acuerdo a la Recomendación X.200, en el llamado modelo de Referencia OSI existen 7 capas , cada una de ellas se denomina genéricamente capa N. La entidad N+1 solicita servicios de transmisión a la entidad N. [10]
En cada nivel dos entidades (N-entidad) interactúan por medio del protocolo (N) transmitiendo Unidades de Datos de Protocolo (PDU). La Unidad de Datos de Servicio (SDU) es una unidad específica de datos que ha sido transmitida desde una capa OSI a una capa inferior y que aún no ha sido encapsulada en una PDU por la capa inferior. Es un conjunto de datos que es enviado por un usuario de los servicios de una capa dada y se transmite semánticamente sin cambios a un usuario de servicio par. La PDU en cualquier capa dada, capa 'n', es la SDU de la capa inferior, capa 'n-1'. En efecto, la SDU es la 'carga útil' de una PDU dada. Es decir, el proceso de cambiar una SDU a una PDU, consiste en un proceso de encapsulación, realizado por la capa inferior. Todos los datos contenidos en la SDU se encapsulan dentro de la PDU. La capa n-1 agrega encabezados o pies de página, o ambos, a la SDU, transformándola en una PDU de capa n-1. Los encabezados o pies de página agregados son parte del proceso utilizado para hacer posible obtener datos desde una fuente a un destino. [10]
Descripción de los servicios de seguridad OSI
Los siguientes son los servicios de seguridad que se pueden proporcionar opcionalmente en el marco del modelo de referencia OSI. Los servicios de autenticación requieren información de autenticación que comprende información almacenada localmente y datos que se transfieren (credenciales) para facilitar la autenticación: [1] [4]
- Autenticación
- Estos servicios proporcionan la autenticación de una entidad par que se comunica y la fuente de datos como se describe a continuación.
- Autenticación de entidades pares
- Este servicio, cuando lo proporciona la capa (N), proporciona corroboración a la entidad (N + 1) de que la entidad par es la entidad (N + 1) declarada.
- Autenticación del origen de los datos
- Este servicio, cuando lo proporciona la capa (N), proporciona corroboración a una entidad (N + 1) de que la fuente de los datos es la entidad (N + 1) par reclamada.
- Control de acceso
- Este servicio proporciona protección contra el uso no autorizado de recursos accesibles a través de OSI. Estos pueden ser recursos OSI o no OSI a los que se accede mediante protocolos OSI. Este servicio de protección se puede aplicar a varios tipos de acceso a un recurso (por ejemplo, el uso de un recurso de comunicaciones; la lectura, la escritura o la eliminación de un recurso de información; la ejecución de un recurso de procesamiento) o a todos los accesos a un recurso.
- Confidencialidad de los datos
- Estos servicios proporcionan la protección de datos contra la divulgación no autorizada como se describe a continuación.
- Confidencialidad de la conexión
- Este servicio garantiza la confidencialidad de todos los datos de (N)-usuarios en una conexión (N)
- Confidencialidad sin conexión
- Este servicio garantiza la confidencialidad de todos los datos de (N) usuarios en una única (N)-SDU sin conexión.
- Confidencialidad de campo selectiva
- Este servicio garantiza la confidencialidad de campos seleccionados dentro de los datos de usuario (N) en una conexión (N) o en una única SDU (N) sin conexión.
- Confidencialidad del flujo de tráfico
- Este servicio prevé la protección de la información que pueda derivarse de la observación de los flujos de tráfico.
- Integridad de los datos
- Estos servicios contrarrestan las amenazas activas y pueden adoptar una de las formas que se describen a continuación.
- Integridad de la conexión con recuperación
- Este servicio garantiza la integridad de todos los datos de (N) usuarios en una conexión (N) y detecta cualquier modificación, inserción, eliminación o reproducción de cualquier dato dentro de una secuencia SDU completa (con intento de recuperación).
- Integridad de la conexión sin recuperación
- Igual que el anterior pero sin intento de recuperación.
- Integridad de la conexión de campo selectiva
- Este servicio garantiza la integridad de los campos seleccionados dentro de los datos de (N)-usuario de una (N)-SDU transferidos a través de una conexión y toma la forma de determinación de si los campos seleccionados han sido modificados, insertados, eliminados o reproducidos.
- Integridad sin conexión
- Este servicio, cuando lo proporciona la capa (N), proporciona garantía de integridad a la entidad (N + 1) solicitante. Este servicio garantiza la integridad de una única SDU sin conexión y puede adoptar la forma de determinación de si se ha modificado una SDU recibida. Además, puede proporcionarse una forma limitada de detección de reproducción.
- Integridad sin conexión de campo selectivo
- Este servicio garantiza la integridad de los campos seleccionados dentro de una única SDU sin conexión y toma la forma de determinación de si los campos seleccionados han sido modificados.
- No repudio
- Este servicio puede adoptar una o ambas de dos formas.
- No repudio con prueba de origen
- Al destinatario de los datos se le proporciona una prueba del origen de los mismos, lo que lo protegerá contra cualquier intento por parte del remitente de negar falsamente el envío de los datos o su contenido.
- No repudio con constancia de entrega
- Al remitente de los datos se le proporciona una prueba de la entrega de los mismos, lo que lo protegerá contra cualquier intento posterior por parte del destinatario de negar falsamente la recepción de los datos o su contenido.
Mecanismos de seguridad específicos
Los servicios de seguridad podrán ser prestados mediante mecanismos de seguridad: [1] [3] [4]
La tabla 1/X.800 muestra las relaciones entre servicios y mecanismos.
Algunos de ellos pueden aplicarse a protocolos orientados a conexión, otros a protocolos sin conexión o a ambos.
La tabla 2/X.800 ilustra la relación entre los servicios de seguridad y las capas: [4]
Otros significados relacionados
Servicio de seguridad gestionado
Los servicios de seguridad gestionados (MSS) son servicios de seguridad de red que se han subcontratado a un proveedor de servicios.
Véase también
Referencias
- ^ abcd X.800: Arquitectura de seguridad para la interconexión de sistemas abiertos para aplicaciones del CCITT
- ^ ISO 7498-2 (Sistemas de procesamiento de información – Interconexión de sistemas abiertos – Modelo básico de referencia – Parte 2: Arquitectura de seguridad)
- ^ abc William Stallings Crittografia e seguridad delle reti Seconda edizione ISBN 88-386-6377-7
Traduzione Italiana a cura di Luca Salgarelli di Cryptography and Network security 4 edición Pearson 2006
- ^ abcd Protección de los sistemas de información y comunicaciones: principios, tecnologías y aplicaciones Steven Furnell, Sokratis Katsikas, Javier Lopez, Artech House, 2008 - 362 páginas
- ^ Instrucción CNSS n.° 4009 de 26 de abril de 2010
- ^ Glosario de servicios web del W3C
- ^ Publicación especial 800-95 del NIST Guía para servicios web seguros
- ^ RFC 2828 del Grupo de trabajo de ingeniería de Internet Glosario de seguridad de Internet
- ^ Fundamentos de seguridad de red: aplicaciones y estándares, William Stallings, Prentice Hall, 2007 - 413 páginas
- ^ abc X.200 : Tecnología de la información - Interconexión de sistemas abiertos - Modelo básico de referencia: El modelo básico
- ^ Simmonds, A; Sandilands, P; van Ekert, L (2004). "Una ontología para los ataques a la seguridad de la red". Lecture Notes in Computer Science 3285: 317–323
Enlaces externos
- Término en FISMApedia
- Lista de actividades y publicaciones de la UIT-T en materia de seguridad