ALUMNOS: Flores Fernndez Andy Paul Aguinaga Montesa Ronald DOCENTE: Richard Piscoya Herrera CURSO: Seguridad Informtica

TEMA: Arquitectura de seguridad- Iso 7498-2

Con la llegada y enorme evolucin de los sistemas informticos los requisitos en seguridad de la informacin manejada dentro de una organizacin ha evolucionado sustancialmente as ha surgido la necesidad de desarrollar herramientas automticas para proteger los ficheros y otras informaciones almacenadas en memoria.

La arquitectura de seguridad propuesta para el modelo ISA proporciona una descripcin de los servicios de seguridad y mecanismos asociados

Definicin de los servicios de seguridad

definicin de mecanismos de seguridad

Elementos

definicin de una serie de principios de estructuracin de servicios de seguridad en los niveles de la arquitectura ISA implantacin de servicios de seguridad en los niveles ISA definicin de los mecanismos asociados a cada servicio de seguridad

Identificacin de participantes El receptor ser notificado en cualquier caso de prdida de datos

Transmisin sin modificacin

Autenticacin

asegura que las entidades que se comunican son quin reclaman ser

Autenticacin del origen de los datos

Autenticacin de entidades pares

comunicaciones no orientadas a conexin garantizar es que el origen de cada unidad de datos corresponde con la indicada en su cabecera. correo electrnico

comunicaciones orientadas a conexin asegura la identidad de las dos entidades que se comunican en la fase de transferencia debe garantizar que un intruso no pueda suplantar a cualquiera de las dos entidades

Control de acceso

evita el uso no autorizado de los recursos.

Confidencialidad

La informacin no va a ser revelada ni va a estar disponible a individuos no autorizados

Integridad:
asegura que datos son recibidos exactamente a como han sido enviados por una entidad autorizada

orientada a conexin con mecanismos de recuperacin

orientada a conexin sin mecanismos de recuperacin

orientada a conexin sobre campos selectivos

orientada a no conexin

no orientada a conexin sobre campos selectivos

detecta cualquier modificacin, insercin, borrado o retransmisin de cualquier unidad de datos haciendo uso de mecanismos de recuperacin de la integridad si fuera necesario

slo se detecta las violaciones en la integridad de los datos pero no se articulan mecanismos de recuperacin de la integridad.

Este servicio asegura la integridad de campos especficos dentro de las unidades de datos de usuario

Este servicio asegura la integridad de una sla unidad de datos del servicio Adicionalmen te tambin pueden existir algunos mecanismos que garanticen la deteccin de retransmisio nes.

Este servicio asegura la integridad de campos especfico s dentro de una sla unidad de datos del servicio

No Repudio
Con prueba de origen

evita que las entidades pares que se comunican puedan denegar el haber participado en parte o en toda la comunicacin.

No repudio con prueba de entrega

Este servicio proporciona los mecanismos necesarios para asegurar que el mensaje fue enviado por la entidad especificada.

Este servicio proporciona los mecanismos necesarios para asegurar que el mensaje fue recibido por la entidad especificada.

Encriptacin
Mecanism os de control de acceso

Cdigo de autenticaci n de mensajes

Mecanis mos de integrida d de datos

Mecanismos de seguridad especficos

Mecanismos de intercambio de autenticacin

Firma digital

Trafico de relleno

mecanismo que utiliza la criptografa para transformar las unidades de datos intercambiadas por las entidades pares
Realiza funcin de encriptado y la funcin de desencriptado. El mecanismo de encriptacin se utiliza tpicamente para proporcionar el servicio de confidencialidad encriptacin convencional y la encriptacin de clave pblica.

Encriptacin convencional
Datos se transforman en un texto ininteligible al aplicar una funcin de encriptado. elementos: el algoritmo de encriptado y una clave el algoritmo de encriptacin debe ser capaz de hacer inviable desencriptar los datos a partir slo del texto encriptado. depende de la seguridad en el conocimiento de la clave no de la seguridad en el conocimiento del algoritmo.

Encriptacin de clave nica

la clave usada para las funciones de encriptado y desencriptado no es necesariamente la misma Cada entidad par publica su clave de encriptado situndola en un registro pblico o fichero. Esta es la clave pblica. La clave asociada es la clave privada.

Decidir que unidades de datos hay que encriptar y donde deberamos fisicamente situar los mecanismos de encriptacin

Sitar los mecanismos de encriptacin en los extremos de los enlaces entre cada par de nodos con el cual se va a conseguir que todo el trfico entre todos los enlaces sea seguro, una desventaja de esta alternativa es que los datos deberan ser desencriptados cada vez que llegan a un nodo de la red de conmutacin de paquetes

Otra posibilidad sera situar los mecanismos de encriptacin en los sistemas informticos de los usuarios. En este caso las funciones de encriptado/desencriptado se llevan a cabo en los sistemas finales.

Siempre se debe considerar la posibilidad de que un intruso pueda realizar un anlisis del trfico en la red

El trfico de relleno es un mecanismo de seguridad que consiste en producir una salida de texto cifrado continuamente incluso en ausencia de texto en claro. Cuando hay texto en claro disponible este se encripta y transmite. Cuando no hay texto en claro presente se generan datos aleatorios que son a continuacin encriptados y transmitidos.

El receptor debera discriminar entre datos vlidos e invlidos

La autenticacin de unidades de datos es un mecanismo que permite que las partes que se comunican verifiquen que los mensajes recibidos son autnticos

Cdigo de autenticacin de mensajes

Esta tcnica de autenticacin supone el uso de una clave secreta para generar un pequeo bloque de datos conocido como cdigo de autenticacin de mensajes y que se incorpora al propio mensaje.

Encriptacin como mecanismo de encriptacin La encriptacin se puede convertir en un mecanismo de autenticacin. As en un modelo de encriptacin convencional donde slo las entidades emisora y receptora comparten la clave secreta nicamente la autntica entidad emisora podra encriptar con xito una unidad de datos dirigida a otra entidad.

Los mecanismos de autenticacin protegen los datos de usuario intercambiados por las entidades pares de los ataques de un intruso externo pero pueden no protegerlos de las propias entidades pares. As por ejemplo una entidad receptora podra inventarse una unidad de datos aadir un cdigo de autenticacin y decir que viene de la entidad emisora con la que comparte la clave secreta

1. Debe ser posible verificar al autor y los datos y el tiempo de la firma 2. Debe ser posible autentificar los contenidos de los mensajes en el tiempo de la firma 3. La firma debe estar disponible por las tres parte para resolver disputas

los mecanismos de integridad hacen referencia a las funciones que permiten confirmar la correccin de los datos intercambiados entre las entidades pares Estos mecanismos intrinsecos a los propios protocolos de comunicaciones pueden ser utilizados como mecanismos de integridad. Por ejemplo, si el cdigo de redundancia de una unidad de datos del protocolo (UDP) es encriptada entonces un intruso podra modificar la UDP pero no podra modificar el cdigo de redundancia para hacerlo conforme a los cambios. La entidad receptora podra detectar el error entre el cdigo de redundancia recibido y el calculado y concluir que hubo una violacin de la integridad de los datos. Igualmente el uso de nmeros de secuencia encriptados protege a las unidades de intercambiadas de las retransmisiones, borrado o desorden. Otras tcnicas a considerar seran el uso de sellos de tiempo e identificadores de uso nico.

Los mecanismos de control de acceso permiten asegurar que slo usuarios autorizados van a tener acceso a un sistema particular y a sus recursos individuales y que el acceso o modificacin de una parte de los datos slo estar tambin slo permitido a individuos autorizados y programas. Control de acceso orientado a usuario Los mecanismos de control de acceso orientados a usuario tratan de limitar los usuarios que acceden a los recursos del sistema El control de acceso de usuario en un entorno distribuido tal como una Red de Area Local (RAL) puede ser centralizado o distribuido. Control de acceso orientado a datos con cada usuario puede haber establecido un perfil que especifica las operaciones permitidas y los ficheros accesibles. El sistema de gestin de la Base de Datos debe controlar el acceso a elementos especficos y campos dentro de dichos elementos.

Mecanismo de etiquetas de seguridad

Mecanismo de deteccin de eventos

Mecanismo de funcionalidad de confianza

Mecanismos de seguridad generalizados

Mecanismo de rastreo de auditora de seguridad Mecanismos de recuperacin de seguridad