Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Agenda
Curso verano USAL
Malware Navegacin insegura Configuracin incorrecta Aplicaciones no confiables Comunicaciones inseguras Acceso no autorizado a datos Modelo de seguridad
Firma de cdigo System Management Server 2003 Exchange 2007 SCMDM 2008 Aprovisionamiento de dispositivos
Funcionalidades de seguridad en WM
Bloqueo del dispositivo Cifrado del dispositivo Borrado del dispositivo Comunicaciones seguras Certificados Politicas de seguridad
Malware o Virus o Troyanos o Software espa o Rootkits o Gusanos o Parsitos Navegacin insegura Configuracin incorrecta Aplicaciones no confiables
Comunicaciones inseguras o Wi-Fi o Bluetooth o Celulares o locales Acceso no autorizado a datos o Perdida, robo o Usuarios maliciosos
Riesgos de seguridad
Curso verano USAL
Riesgo: o Mayor facilidad de perdida o sustraccin del dispositivo Solucin preventiva o Educacin del usuario: el dispositivo esta en el bolsillo o en la mano Solucin reactiva o Borrado remoto de dispositivo
Riesgos de seguridad
Curso verano USAL
Riesgo: o Intrusiones locales no autorizadas o Acceso no autorizado a datos (LOPD) Solucin preventiva o Bloqueo del dispositivo o Cifrado de datos o Borrado local Solucin reactiva o borrado remoto
Riesgos de seguridad
Curso verano USAL
WiFi abierta, Rogue AP Webs maliciosas Bluetooth abierto Cifrados frgiles o rotos (PPTP, WEP)
Solucin preventiva
Uso de canales seguros y cifrados fuertes (IPSec, WPA2) o Educacin del usuario: no usar canales de comunicacin no fiables
o
Riesgos de seguridad
Curso verano USAL
Riesgo:
o
Navegacin insegura
Solucin preventiva
o
Uso de aplicaciones antimalware, bloqueo de webs maliciosas Restriccin del uso de Internet mediante politicas de seguridad Educacin del usuario: no navegar en sitios no fiables
Riesgos de seguridad
Curso verano USAL
Riesgos de seguridad
Curso verano USAL
Riesgo:
o
Solucin preventiva
o
Riesgos de seguridad
Curso verano USAL
Riesgo:
o
Solucin preventiva
o
Riesgos de seguridad
Curso verano USAL
Riesgo:
o
Aplicaciones no confiables Control del software autorizado para instalar en los dispositivos
Solucin preventiva:
o
La ejecucin de las aplicaciones esta basada en permisos. Los dispositivos Windows Mobile tienen tres niveles de acceso al sistema para la ejecucin de un programa:
Privilegiado Normal Bloqueado Es el sistema operativo el que concede a una aplicacin un nivel de ejecucin
Se puede invocar a cualquier API Se puede escribir en reas protegidas del registro Acceso completo a los ficheros del sistema. No se puede invocar a las APIs de confianza No se puede escribir en reas protegidas del registro No se puede escribir ficheros del sistema No se puede instalar certificados en almacenes protegidos.
o o
Las aplicaciones pueden ejecutarse sin ningn tipo de comprobacin y ejecutarse con permisos privilegiados en el dispositivo Pueden llamar a cualquier API Se ejecutan en el dispositivo con el rol de MANAGER Las aplicaciones requieren comprobacin de polticas de seguridad para determinar si se podrn ejecutar. Si se permite ejecutarlas, se ejecutarn con los mismos permisos que si son aplicaciones firmadas
Seguridad de dos capas: o Firmado con un certificado de confianza: Las aplicaciones pueden ejecutarse sin ningn tipo de comprobacin
o
Las aplicaciones firmadas con un certificado del almacn Privilegiado se ejecutan con permisos privilegiados y tienen acceso completo al dispositivo El resto de aplicaciones se ejecutan con permisos normales. Pueden leer reas del registro protegidas y ficheros del sistema. No pueden escribir en reas del registro, ficheros del sistema o acceder a \Windows\System
o
o
Las aplicaciones en modo privilegiado tienen el rol de MANAGER y en modo normal el de USER_AUTH Requieren comprobacin de polticas de seguridad para determinar si se podrn ejecutar. Si se permite ejecutarlas, se ejecutarn con permisos normales
No firmada
Puede ejecutar aplicaciones no firmadas?
Firmada
Dnde est el certificado?
No
Si No
Entrada de usuario
Denegar
Permitir
Dos capas
Bloquear/denegar ejecucin
Una capa
Ejecucin privilegiada
Ejecucin normal
Los niveles de acceso mas comunes son: Locked One-tier Mobile2Market Locked One-tier prompt Security Off Two-tier Mobile2Market Locked Two-tier prompt
Funcionalidades de seguridad de WM
Curso verano USAL
Bloqueo local por inactividad Desbloqueo por contrasea configurable en complejidad Borrado local (usando Exchange 2003 SP2/ 2007, SCMDM 2008 u OMA)
Funcionalidades de seguridad de WM
Curso verano USAL
AES-128 La penalizacin de rendimiento es mnima (penaliza mas la operacin de E/S que la operacin de cifrado/descifrado) Sobrecarga del fichero: una pgina para la cabecera y una para cada 200K de fichero (aprox 16K para un fichero de 600K)
Funcionalidades de seguridad de WM
Curso verano USAL
Comunicaciones seguras
o
VPN
L2TP/IPSec
WPA-2 cifrado AES 802.1x
WiFi
Funcionalidades de seguridad de WM
Curso verano USAL
Almacn con privilegios Almacn estndar Almacn SPC (Software Publishing Certificates) Root CA (Intermediate) My (personal) Instalacin de certificados con un solo click
Funcionalidades de seguridad de WM
Curso verano USAL
Politicas de seguridad
o
http://msdn.microsoft.com/enus/library/bb416355.aspx
Muestra configuracin de seguridad actual del dispositivo WM o del emulador Permite configurar el emulador con directivas comunes de seguridad para probar aplicaciones
Integracin con Visual Studio 2008 Entender y administrar las caracterisiticas de seguridad del dispositivo Exportar configuracin de seguridad Crear una configuracin de seguridad personalizada
Locked: Solo las aplicaciones firmadas con un certificado digital que se encuentre en el contenedor privilegiado pueden ejecutarse Todas las llamadas a la RAPI son rechazadas Los certificados Mobile2Market son eliminados del dispositivo pero los certificados OEM, Mobile Operator o Enterprise siguen presentes.
One Tier Prompt: Esta poltica permite a las aplicaciones firmadas con un certificado reconocido por el dispositivo ejecutarse sin avisar al usuario. El dispositivo avisa al usuario antes de permitir la ejecucin de aplicaciones no firmadas o firmadas incorrectamente. Una vez la aplicacin est corriendo, tiene permisos totales sobre el dispositivo.
Security Off: Tanto las aplicaciones firmadas como no firmadas se les permite ser ejecutadas sin ninguna comprobacin de seguridad y sin avisar al usuario. Cualquier aplicacin puede llamar a cualquier API y modificar cualquier parte del registro y del sistema de ficheros Esta poltica puede ser usada durante la fase de testing de un dispositivo.
Mobile To Market Locked: Las aplicaciones que estn firmadas pueden ejecutarse. Las aplicaciones que no estn firmadas no pueden ejecutarse. Una vez que la aplicacin esta corriendo los permisos son determinados por la ubicacin del certificado digital. Mobile2Market es el programa de certificacin y marketing de Microsoft. Los partners proporcionan una CA y servicios de forma digital para Windows Mobile. Una vez firmada la app, se puede incluir en el catlogo de M2M de aplicaciones de Microsoft.
Two Tier Prompt: Esta poltica permite la ejecucin de aplicaciones firmadas. El dispositivo pregunta al usuario antes de ejecutar aplicaciones no firmadas. Una vez que se ejecuta aplicacin firmada, los permisos de la aplicacin son determinados por el certificado:
Aplicaciones firmadas con un certificado en el contenedor Privilegiado tienen acceso sin restricciones al dispositivo Aplicaciones firmadas con un certificado en el contenedor no privilegiado se ejecutan con permisos normales
El editor de registro remoto es una herramienta del SDK de Visual Studio .NET que permite acceder al registro de Windows Mobile tanto de emuladores como de dispositivos fsicos A travs del registro de Windows Mobile se puede configurar la seguridad de los dispositivos, as como obtener su configuracin actual Las polticas de seguridad estn alojadas en el registro de Windows Mobile del dispositivo: HKLM\Security
Se genera a partir de un archivo del ensamblado (el archivo que contiene el manifiesto del ensamblado) mediante la clave privada correspondiente.
Los ensamblados de nombre en los dispositivos Windows Mobile se ubican en la carpeta \Windows bajo el nombre
GAC_<shortname>_v<maj>_<min>_<build>_<rev>_c<culture>_<re f>.dll
Al contrario que en .NET en .NETCF los ensamblados de la GAC son almacenados en IL y el CLR necesita compilarlos cada vez que los carga. El mayor beneficio que se tendra aqu se aplica al ahorro de espacio al registrar un ensamblado en la GAC
Qu es Authenticode?
Curso verano USAL
Authenticode es una tecnologa desarrollada por Microsoft que permite a los equipos verificar el origen de los programas, documentos y otros tipos de ficheros El uso mas comn de Authenticode es el de certificar software que corre en Microsoft Windows Una firma digital de Authenticode permite asegurarse de que el software es original, de que no es un troyano ni un programa potencialmente peligroso que puede enmascarar otro producto. Tambin se utiliza para detectar si el programa ha sido modificado
Qu es Authenticode?
Curso verano USAL
Una firma digital de Authenticode no prueba en si misma que el software que lleva no es peligroso. Sin embargo, la persona u organizacin que firman el software tienen que probar que ellos fueron los que publicaron el certificado.
Por lo tanto los certificados son trazables.
Un certificado SPC (Software Publisher Certificate) es aquel que acredita a una entidad como distribuidora de software. Es un certificado que ha de obtenerse antes de comenzar la distribucin de software y se consigue realizando una peticin a una entidad emisora de certificados.
Por defecto los dispositivos Windows Mobile salen con una variedad de certificados:
Certificados
vendors Mobile2Market y otros certificados de confianza que se designan al firmado de aplicaciones Certificados adicionales que pueden ser aadidos por el OEM
A travs de una Entidad emisora de Certificados de tu empresa (Servicio de Windows Certificate Server en Windows 2000/2003/2008) A travs del programa Mobile2Market A travs de cualquier entidad emisora raz de confianza que pertenezca a la lista de CAs de confianza de Microsoft y que emita certificados de Authenticode vlidos para e-commerce
Para firmar con Authenticode un ensamblado de Compact Framework Propiedades de proyecto Dispositivos
41
Firewall Anti Malware Backup Comunicaciones seguras Gestin de seguridad Gestin centralizada
Polticas de contraseas
Curso verano USAL
8 caracteres mnimo Maysculas, minsculas, nmeros, caracteres Periodo de caducidad Historial de contraseas Diccionario de contraseas comunes
Copia de seguridad de
o o
Comunicaciones seguras
Curso verano USAL
HTTPS VPN
46
System Management Server 2003 Exchange 2007 SP1 System Center Mobile Device Manager 2008 Aprovisionamiento de dispositivos
Estndar
Inventario hardware y software de dispositivos Coleccin de ficheros Distribucin de software Gestin de configuracin Gestion de poltica de contraseas
Windows Mobile Pocket PC 2002 Windows Mobile Pocket PC 2003 Windows Mobile Pocket PC 5.0
Descarga: http://technet.microsoft.com/en-us/sms/bb676769.aspx
Acceso Web a Exchange Acceso Premium (IE 6.0/7.0) o ligero (otros navegadores) Autenticacin: standard (bsica, digest, Windows), basada en formularios, ISA Server, smart card, RSA Secur ID Acceso a las carpetas pblicas Soporta navegacin desde PDA Autoservicio de usuario
Acceso y sincronizacin desde dispositivos mviles (WM5 y WM6) de correo, calendario, tareas y contactos Cifrado y compresion de los datos enviados y recibidos Direct Push Politicas de seguridad Borrado local y remoto Recuperacin de contrasea
CAL standard
Sincronizacin
Autenticacin
Cifrado
Requerir mensajes con firma SMIME Requerir mensaje cifrados SMIME Requerir algoritmo de firma SMIME Requerir algoritmo de cifrado SMIME Permitir negociacin de algoritmo de cifrado SMIME
Requerir sincronizacin manual si se esta en Acceso a ficheros compartidos de Windows Permitir SMIME SoftCerts roaming Acceso a sharepoint Cifrado del dispositivo Permitir descargas de adjuntos Longitud mnima de la contrasea Cifrado de la tarjeta de almacenamiento Tamao mximo de adjuntos Timeout por inactividad
CAL Enterprise
Control de dispositivo
Control de conexiones
Control de aplicaciones
Deshabilitar ActiveSync Deshabilitar almacenamiento extrable Deshabilitar cmara Deshabilitar SMS y MMS
Deshabilitar Wi-Fi Deshabilitar Bluetooth Deshabilitar IrDA Permitir conexin a Internet compartida
Deshabilitar correo POP3/IMAP4 Permitir correo de usuario Permitir navegador Permitir aplicaciones no firmadas Permitir CABs no firmados Lista blanca de aplicaciones Lista negra de aplicaciones
Gestin centralizada Aprovisionamiento y arranque totalmente OTA (Over The Air). Distribucin de software OTA Inventariado del hardware y software de los dispositivos mviles Capacidades de reportes Unin a dominio Cifrado del sistema de ficheros del dispositivo y/o de la tarjeta de almacenamiento secundario Listas blancas y negras de aplicaciones Instalacin de aplicaciones firmadas Borrado remoto (wipe) completo del dispositivo Bloqueo por inactividad Complejidad de contraseas Control de comunicaciones Autenticacin de mquina y seguridad de doble sobre Persistencia de sesin y reconexin rpida Roaming Internet/red de trabajo Basado en estndar (IKEv2, Tnel en modo IPSEC)
SCMDM 2008
Gestin de seguridad
VPN mvil
VPN mvil
Servidor de gestin
(1) Conexin con el servidor de gateway (2) Conexin con el servidor de gestin
Servidor de gateway
Repositorio de software
Computer settings
User Configuration
OMA DM IPSec IKE v2 y MobIKE SCOMO (Borrador de OMA para gestin de software)
Mobile Gateway
Internet
TODO el trfico del dispositivo se dirige al GW va VPN no hay conexin directa a Internet Puede desconectarse la VPN en el dispositivo
Aprovisionamiento de dispositivos
59 Curso verano USAL
Aprovisionamiento de dispositivos
Estndar OMA
60
Misin. Su misin es proporcionar servicios interoperables que permitan trabajar a travs de pases, operadoras y dispositivos mviles. Independencia de la red. Las especificaciones OMA son agnsticas en cuanto al tipo de tecnologa de red a utilizar en la conexin y el transporte de datos. La especificacin de OMA para una funcionalidad concreta, es la misma para redes GSM, UMTS o CDMA2000. Voluntaria. OMA no es una organizacin de estndares promovida y patrocinada por el gobierno como podra ser ITU. No obstante, s pretende ser un foro para que las principales compaas de la industria se pongan de acuerdo y sigan unas especificaciones comunes para sus productos y servicios. Estrictamente hablando, el cumplimiento de los estndares es completamente voluntario puesto que OMA no tiene un poder mandatario. Licencia de propiedad intelectual "FRAND". Los miembros que posean derechos de propiedad intelectual (p.ej. patentes) en tecnologas esenciales para la realizacin de una especificacin deben estar de acuerdo en proporcionar licencias para su tecnologa de una forma "justa, razonable y no discriminatoria" (FRAND - "fair, reasonable and nondiscriminatory", del ingls) a los dems miembros de la OMA.
Aprovisionamiento de dispositivos
Estndar OMA
61 Curso verano USAL
Se Definen:
Proveedores de
Formato
de fichero de aprovisionamiento
Aprovisionamiento de dispositivos
Estndar OMA: CSP
62
CSP Descripcin Especifica las redes de destino a las que pueden conectarse mltiples objetos. CSP Descripcin Permite que un servidor OMD DM v1.2 maneje objetos OMA DM account. El servidor puede utilizar este proveedor de servicios de configuracin para agregar una nueva cuenta o para administrar una cuenta existente, incluyendo una cuenta aprovisionada mediante el CSP w7 APPLICATION. Habilita a un servidor OMA DM para descargar aplicaciones en ficheros .cab e instalar las aplicaciones. Configura los servicios de e-mail del protocolo de internet. Administra los archivos y directorios del dispositivo. Consulta el sistema de archivos del dispositivo para obtener informacin sobre los ficheros del dispositivo. Utilizado para actualizaciones de firmware. Gestiona la URL de actualizacin de paquetes y notifica al usuario las nuevas actualizaciones utilizando el Download Agent UI. Configura la pantalla Home del dispositivo. Permite que el servidor OMA DM consulte el hardware del dispositivo, informacin del sistema, informacin sobre el sistema de ficheros, as como las aplicaciones que hay instaladas en el dispositivo. Utilizado para agregar, modificar, eliminar y consultar certificados o hashes binarios en la lista de revocacin. Configura los ajustes regionales del dispositivo. Utilizado para agregar, modificar y eliminar entradas de la metabase. Configura los datos y conexiones celulares del dispositivo. Agrega, modifica y elimina definiciones de puntos de acceso a redes WAP (NAPDEFs), as como sus correspondientes ajustes. Configura las polticas de red para Bluetooth, IrDA y Wi-Fi. Configura el servidor Obex, el cual gestiona las comunicaciones Bluetooth e infrarroja.
ACCESS
DMS
Aade un nuevo favorito. Configura el servicio Multimedia (MMS). Establece una cuenta OMA DM En el dispositivo.
APPLICATION 110 Configura el servicio POP3. APPLICATION 143 Configura el servicio IMAP. APPLICATION 25 Bluetooth Configura el servicio SMTP. Configura el modo de operacin Bluetooth.
Establece el TPS para el dispositivo. Agrega o elimina URLs de la lista de favoritos del dispositivo. Habilita o deshabilita la cmara en un dispositivo. Configura los tipos de certificados y activa el enrollment del dispositivo. Consulta y renueva los certificados del lado del dispositivo. Agrega certificados de seguridad y mscaras de rol en el almacn de certificados del dispositivo. Establece el tiempo y la fecha del dispositivo Configura las entradas GPRS (General Packet Radio Services) del dispositivo.
Aprovisionamiento de dispositivos
Estndar OMA:CSP
63
CSP CM Mappings CM NetEntries CM Networks CM Planner CM PPPEntries CM ProxyEntries Descripcin Configura la tabla de mapeo de URL. Configura entradas de red adicionales en el dispositivo. Configura las conexiones de red en el dispositivo. Configura las conexiones preferidas por Connection Manager. Configura las entradas del protocolo punto a punto (PPP) del dispositivo. Configura las conexiones proxy. CSP PROXY PXLOGICAL Registry RemoteWipe ROMPackage SoftwareDisable Descripcin Configura las entradas de red mediante proxy. Cada nodo proxy numerado configura una conexin proxy. Agrega, elimina y modifica WAP lgico y proxys fsicos. Configura el registro del dispositivo. Utilizado por el servidor para iniciar remotamente el borrado del dispositivo. Utilizado por el servidor para consultar al dispositivo los paquetes ROM de la versin empleada por la actualizacin de firmware. Habilita un listado de bloques seguros de archivos binarios en la ROM de un dispositivo, as como una lista de acceso seguro de ficheros binarios no firmados en RAM.
CM VPNEntries
CM WiFiEntries
SecurityPolicy
Sounds
CMPLANNER
SpeedDial
Permite rellenar las entradas de velocidad de marcado antes de la entrega del dispositivo al usuario. Configura los ajustes de sincronizacin del dispositivo. Configura los ajustes de telefona del sistema global de comunicaciones mviles (GSM Global System Mobile Communications). Elimina aplicaciones del dispositivo. Nota: Con OMA DM slo es posible consultar las aplicaciones instaladas en el dispositivo, no es posible desinstalarlas. Configura o consulta los ajustes de voz sobre IP.
Sync Tapi
Permite que el servidor consulte informacin general al dispositivo, como la UnInstall versin del SO o el uso de memoria. Maneja el objeto DevInfo de OMA DM. Este objeto contiene informacin del dispositivo y se enva al servidor al inicio de cada sesin OMA DM. Maneja el objeto DMAcc de OMA DM, el cual almacena los ajustes especficos del servidor OMA DM. Estos ajustes se conocen en conjunto como OMA DM account. El nodo DMAcc es comn a todos los nodos OMA DM account. VoIP
DevInfo
DMAcc
VNP
Wi-Fi
Aprovisionamiento de dispositivos
Roles de acceso a CSP
64 Rol
None Manager Enterprise SECROLE_NONE SECROLE_MANAGER SECROLE_ENTERPRISE Sin rol asignado La configuracin puede ser cambiada por el o administrador. Este rol permite acceso a todos los recursos del sistema Rol para administrador de Exchange. Permite gestionar configuraciones como borrado del dispositivo, gestin de contraseas y certificados Rol del propietario del dispositivo. Los permisos estn determinados por la configuracin del recurso al que se solicita acceso. Este rol tambin se asigna a: Mensajes WAP push firmados con PIN. Mensajes recibidos por RAPI. Rol annimo. Asignado a mensaje WAP sin firmar. Permite instalar fondos de pantalla o tonos de llamada
Authenticated User
SECROLE_USER_AUTH
SECROLE_PPG_TRUSTED
Roles asignados a servidores Trusted Provisioning Server (TPS) de Wireless Application Protocol (WAP).
Aprovisionamiento de dispositivos
Ejemplo de fichero
65 Curso verano USAL
<characteristic type="Registry> <characteristic type="HKLM\Comm\Security\Policy\LASSD"> <parm name="DeviceWipeThreshold" value="3 datatype="integer"/> </characteristic> </characteristic> </wap-provisioningdoc>
Funcionalidades:
o
o
o o o o o
Posibilidad configurar hasta 53 servicios en un dispositivo Varias plataformas de destino Generacin de archivos XML en formato OMA Client Generacin de archivos .cab Envo de archivos .cab a dispositivo Configuracin de dispositivos desde el interfaz Impresin de archivos XML
Parque Tecnolgico de Boecillo. Anexo Edificio Solar 47151 Boecillo (Valladolid) Tlf: 983 549 630 Fax: 983 549 752 www.micmovilidad.es