OSI 7-lags protokollstabel 

av Svein Johan Knapskog. Gjengitt med tillatelse

En rekke sikkerhetstiltak i Internett er avgjørende for at brukere på global basis skal kunne stole på at forbindelsene i nettet er sikre og pålitelige.

Hvilke sikkerhetstiltak som er aktuelle, og hvordan de er implementert forklares best ved bruk av OSI-modellen, publisert av ISO. Den generelle stabelen av lag hos et endepunkt i nettet kalles gjerne en protokollstabel. Innen hvert lag i denne 7-lagsmodellen er det vanligvis flere alternative funksjonalitetspakker, eller samarbeidende protokolldataenheter. Disse vil være koplet mot protokolldataenheter i underliggende og overliggende lag gjennom tjenestene de mottar og produserer, slik at det vil finnes en ’sti’ av vertikalt sammenkoplede protokolldataenheter, dersom en ser alle lagene under ett. En nettverksnode vil normalt bare bestå av de tre nederste lagene i modellen, som er tilstrekkelig til at protokolldataenhetene kan finne veien gjennom nettet som formidler informasjon fra lag 7 hos sender til lag 7 hos mottaker.

En datablokk som overføres som en del av en kommunikasjonsprotokoll kalles gjerne en protokolldataenhet. Enheter på ett lag kommuniserer tilsynelatende direkte med enheter på tilsvarende lag i andre protokollstabler, og en protokolldataenhet som er konstruert på ett lag må tydes av en enhet på det tilsvarende laget i en protokollstabel på mottakerstedet. Data som leveres fra en applikasjon til toppen av protokollstabelen vil bli tilført lagspesifikk, protokollrelevant formatert informasjon fra øverste lag i protokollstabelen og nedover. Etterhvert som protokolldataenhetene traverserer lagene i protokollstabelen, øker de i lengde fordi det på hvert lag legges til kontrolldata i form av et lagspesifikt hode (på lenkelaget forekommer noen ganger også en hale) som inneholder protokollinformasjon. Selve overføringen av data skjer i det nederste laget, Fysisk lag, som beskriver det fysiske utstyret og den tilhørende signaleringskoden som er nødvendig for å overføre signaler mellom sender og mottaker. I de fleste tilfeller vil signalveien gå via nettverksnoder, som består av de tre nederste lagene i OSI-modellen.

En svært sentral del av protokollinformasjonen i hodet (og halen) er mekanismer som beskriver generiske sikkerhetstjenester som kan implementeres for å beskytte informasjonen under overføringen i nettet.

En rekke sikkerhetstjenester er definert for bruk i sikkerhetsarkitekturen:

I et distribuert kommunikasjonssystem er muligheten for autentisering av identiteten til sender og mottaker av informasjon avgjørende

Tilgangskontroll utføres for å sørge for at informasjon er tilgjengelig kun for rette vedkommende. Tjenesten vil kunne ivaretas på lagene 7, 4 og 3 i protokollstabelen. På lag 7 kan det iverksettes tradisjonelle kontrollmekanismer, for eksempel brukeridentitet og passord. På lag 4 kan en kontrollere tilgang til porter, det vil si tjenester eller prosesser som utføres på den enkelte datamaskin. På lag 3 kan tilgang kontrolleres basert på IP-adresser. Det er viktig å være oppmerksom på at en IP-adresse ikke nødvendigvis entydig identifiserer en sluttbruker.

Konfidensialitet av data i et kommunikasjonssystem oppnås gjerne ved bruk av kryptografi. I nettverkssammenheng snakkes det gjerne om:

  • Forbindelsesorientert konfidensialitet En forbindelse settes opp gjennom nettet fra sender til mottaker på Fysisk lag. Informasjon som sendes over denne forbindelsen sikres mot innsyn ved hjelp av kryptografiske teknikker. Slik kryptering vil beskytte både informasjoninnholdet i en datapakke og den tilhørende protokollinformasjonen. Adresseinformasjonen som tilhører høyere lag vil derfor også krypteres, og til en viss grad kunne gi trafikkflytkonfidensialitet.
  • Forbindelsesfri konfidensialitetInformasjonsstrømmen mellom sender og mottaker består av pakker av informasjon som sendes gjennom nettet uavhengig av hverandre. Informasjonen  i hver pakke sikres mot innsyn ved hjelp av kryptografiske teknikker, vanligvis på Nettlaget eller høyere. 
  • Konfidensialitet av utvalgte protokollfeltEnkelte felt i hver pakke sikres mot innsyn ved hjelp av kryptografiske teknikker. Denne tjenesten må gjøres på Presentasjonslaget, der strukturen i pakkene fastlegges
  • TrafikkflytkonfidensialitetReell avsender og mottakeradresse sikres mot innsyn ved hjelp av kryptografiske teknikker på Fysisk lag

Integritetstjenester skal gi brukerne tillit til at informasjonen som lagres, overføres eller behandles på annen måte, er ekte. At informasjonen er ekte betyr i denne sammenhengen at den er uforandret fra et gitt tidspunkt, da den også kunne garanteres å være ekte, og at kilden til informasjonen er autentisk. 

Integritet av brukerdata med gjenvinning etter feil på en forbindelse på lag N kan ikke realiseres på lag 1, 2 eller 3, fordi det ikke finnes gjenvinningsmekanismer i et forbindelsesfritt nett. Først på lag 4, der vi har ende-til-ende transportforbindelser kan gjenvinningsmekanismer realiseres og tjenesten etableres. Heller ikke på lag 5 er det gjenvinningsfunksjonalitet. Ved å kombinere integritets- og gjenvinningsmekanismer på lag 7 med kryptering på lag 6, kan en imidlertid implementere en slik tjeneste på høyere lag.

Forbindelsesorientert integritet uten gjenvinning kan heller ikke realiseres på lag 1 eller 2. På lag 3, derimot, kan integritetstjenester for subnett-trafikk og rutingsinformasjon etableres. Integritetsmekanismer uten gjenvinning kan etableres på lag 4. Dersom brudd på integriteten forekommer, og dette kan antas å skyldes et aktivt angrep, vil data forkastes og forbindelsen normalt koples ned. På lag 7 vil en kunne implementere integritetsfunksjonalitet fra applikasjon til applikasjon med implementasjonsstøtte i form av kryptering på lag 6.

Ikke-benekting er benevnelsen på en tjeneste som skal kunne sørge for at en sender av en melding, bestående av en eller flere protokolldataenheter, ikke på et senere tidspunkt skal kunne nekte for at meldingen ble sendt av vedkommende. En mottaker av en melding skal ikke på et senere tidspunkt kunne nekte for at meldingen ble mottatt. Disse tjenestene realiseres normalt ved å ta i bruk digitale signaturer som kan implementeres i et samspill mellom lag 6 og lag 7.

Foreslå endringer i tekst

Foreslå bilder til artikkelen

Kommentarer

2. september 2016 skrev Svein Johan Knapskog

Guro,

kan du eller noen andre 'fikse litt' på figuren? Det ble litt mye hvitt nederst.

5. september 2016 svarte Guro Djupvik

Hei Svein Johan,
Er det bedre nå?

5. september 2016 svarte Svein Johan Knapskog

Guro,

som jeg skrev i en e-poost til deg: mye bedre.

Har du spørsmål om eller kommentarer til artikkelen?

Kommentaren din vil bli publisert under artikkelen, og fagansvarlig eller redaktør vil svare når de har mulighet.

Du må være logget inn for å kommentere.