UIT-T X.800

El estándar UIT-T X.800 describe una arquitectura de seguridad básica en la transferencia datos cuando se conecta una computadora a una red LAN o  a la Internet; para lo cual, la norma establece unos servicios de seguridad y unos mecanismos que garantizan su prestación; estos servicios y mecanismos están enfocados a realizarle frente a ataques informáticos, concepto que hace referencia a cualquier acción que compromete la seguridad de la información de una organización, y pueden ser de dos tipos:

a) Ataques pasivos: este tipo de ataques tienen como objetivo espiar o monitorear las transmisiones dentro de una red. Este tipo de ataque se clasifica en 2 tipos:

• Obtención de contenidos y mensajes: esto hace referencia a la captura de mensajes como conversaciones telefónicas, email, archivos, etc., es decir escuchar o leer mensajes ajenos.
• Análisis de trafico: esto hace referencia al usos de analizadores (aplicaciones) que observan las unidades de datos que fluyen dentro de una transmisión caracterizando frecuencia, longitudes, tipos de cifrado, origen, destino, etc.

b) Ataques activos: este tipo de ataque tiene como objetivo  la modificación de un flujo de datos o la creación de un flujo falso. Este tipo de ataque se calcifica en 4 tipo:

• Suplantación: esto ocurre cuando una entidad o usuario finge ser otra entidad o usuario.
• Repetición: esto hace referencia a la captura pasiva de un mensaje o unidad de datos y la posterior retransmisión al destinatario.
• Modificación de mensaje: esto hace referencia a la modificación de un mensaje o parte de él, antes de ser recibido por el destinatario.
• Interrupción de servicios: esto hace referencia a impedir el normal funcionamiento de los servicios de comunicación presentes en una red.

Los servicios de seguridad tienen como objetivo fundamental contrarrestar posibles ataques, suprimir vulnerabilidades y disminuir los riesgos en los sistemas informáticos de una organización. La clasificación de estos servicios es:

• Autenticación: hace referencia a la certeza de que una entidad es quien dice ser. En el inicio de una conexión el servicio asegura que las entidades son las que deben estar en la comunicación y mantiene esta condición asegurando que la conexión no está intervenida y un tercero pueda suplantar a una de las dos entidades y pretenda realizar una transmisión o recepción no autorizada.
• Control de acceso: hace referencia  a la capacidad de limitar y controlar el acceso a terminales y aplicaciones mediante enlaces de comunicación, cualquier entidad que desee acceder a otra entidad debe ser identificada y autenticada, de tal forma que si tiene derechos y permios de acceso se cumplan estrictamente.
• Confidencialidad: hace referencia a la protección de los datos de la divulgación no autorizada. Este servicio protege los datos que son transmitidos usando conexiones TCP y protege el flujo frente al análisis de tráfico, para lo cual el atacante no puede ver la fuente, el destino, la frecuencia, la longitud ni ninguna característica del tráfico en una comunicación.
• Integridad: hace referencia a que los datos salientes de una terminal son exactamente iguales a los datos que recibe la terminal de destino. Su enfoque es la protección del flujo de datos.
• No repudio: hace referencia evitar la negación de la transmisión o recepción de datos.
• Disponibilidad: hace referencia  a la propiedad que tiene un sistema o recurso de estar todo el tiempo accesible y utilizable a sus usuarios. Dentro de esta norma este servicio es tratado como propiedad asociada a los demás servicios. Pero bajo mi criterio es considerado un servicio.

A continuación se establece una relación entre servicios de seguridad y ataques informáticos.

 

Los mecanismos de seguridad están diseñadas para la detección, prevención y/o recuperación de un ataque a los sistemas informáticos de una organización. La calificación de estos mecanismos es:

• Cifrado: hace referencia al usos de algoritmos matemáticos para el encriptado de información y su posterior transmisión, con el fin de hacerlos inteligibles a posibles intrusos.
• Firma digital: hace referencia a la añadidura de datos o transformación criptográfica de un mensaje,  que permite al receptor de la comunicación verificar al transmisor o fuente, además de proteger la integridad del mensaje.
• Control de acceso: hace referencia a las formas o mecanismos de brindar derechos o permisos de uso y acceso a un recurso o máquina.
• Integridad de datos: hace referencia a los mecanismos de verificación de la integridad de una unidad de datos y su flujo.
• Intercambio de autenticación: hace referencia al mecanismo de intercambio de credenciales de autenticación entre el transmisor y el receptor.
• Relleno de tráfico: hace referencia a la inserción de bits en el flujo de datos con el fin de frustrar análisis del tráfico de red.
• Control de enrutamiento: hace referencia a la selección de diferentes rutas físicas para la trasmisión de un mensaje.
• Notarización: hace referencia al uso de una tercera entidad que asegura algunas características y propiedades de una trasmisión y la forma de realizarla.

 

A continuación se establece una relación entre servicio y mecanismos de seguridad

APLICACIÓNES DE SEGURIDAD EN REDES

Aplicaciones de autenticación:

• Kerberos: es un protocolo de autenticación centralizado, diseñado para que las estaciones de trabajo que requieran acceder a servicios prestador en servidores, distribuidos a lo largo de una red, puedan realizarlo, es decir autentica a los usuarios con el servidor y al servidor con los usuarios.  Este protocolo se basa en cifrado simétrico. 
• Autenticación de X.509: hace parte de las recomendaciones realizadas por UIT-T X.500 en el dual se define un servicio de directorio, el cual es un servidor o grupo de servidores que almacenan la información de los usuarios como nombre, dirección de red, contraseñas, certificados de clave pública etc.   Esta normatividad se basa en criptografía de clave pública y firmas digitales, o establece un algoritmo específico pero recomienda el uso de RSA.

Seguridad en Correo electrónico:

• PGP(Pretty Goog Privacy): es un protocolo de seguridad que proporciona autenticación y confidencialidad a nivel de correo electrónico y aplicaciones de almacenamiento de archivos. Se basa  en criptografía de clave pública y autenticación por firmas digitales.
• S/MIME: es una mejora al estándar de seguridad de correo electrónico MIME el cual es basado en criptografía RSA y autenticación por firma digital.

Seguridad IP

IPSEC: es un conjunto de aplicaciones que proporcionan la capacidad de asegurar las conexiones en red LAN o WAN dentro de redes privadas, publicas e internet. las aplicaciones más comunes son:

• Conexiones seguras punto a punto a través de internet.
• Aseguramiento de accesos remotos a través de internet
• Conexiones seguras en intranet o extanet.
• Aseguramiento del comercio electrónico.

WEB 

• SSL (Secure Socket Layer): es un protocolo se seguridad enfocado a las transmisiones a través de internet (extremo a extremo). este protocolo tiene dos conceptos básicos, el primero es la conexión o transporte de los datos, y el segundo es la sesión cliente servidor.
• TLS (Transport layer Security): es un protocolo que estandariza y sucede al SSL.
• SET: es un estándar abierto de cifrado y seguridad diseñado para transacciones con tarjetas de crédito en internet.

Gestión de redes

SNMP (Simple Network Management Protocol): Es un protocolo para la supervisión y control de red donde se integra una sola interface y una cantidad mínima de equipo individualizados. El modelo SNMP presenta los siguientes elementos fundamentales:

• Estación de gestión
• Agente de gestión
• Base de información de gestión
• Protocolo de gestión de red

Referencia Bibliograficas

Stallings, W. (2004). Fundamentos de seguridad en redes: aplicaciones y estándares. Pearson Educación.