Seguridad en dispositivos móviles

Curso verano USAL

Agenda Curso verano USAL  Riesgos cómunes en dispositivos móviles  Herramientas de administración de seguridad  Malware  Seguridad en programación  Navegación insegura  Firma de código  Configuración incorrecta  Seguridad en entornos móviles de Microsoft  Aplicaciones no confiables  System Management Server 2003  Comunicaciones inseguras  Exchange 2007  Acceso no autorizado a datos  SCMDM 2008  Funcionalidades de seguridad en WM  Aprovisionamiento de dispositivos  Modelo de seguridad  Estándar OMA  Una capa  Piloto de seguridad del CIM  Dos capas  Bloqueo del dispositivo  Cifrado del dispositivo  Borrado del dispositivo  Comunicaciones seguras  Certificados  Politicas de seguridad  Taxonomia de soluciones comerciales de seguridad

Riesgos comunes en dispositivos móviles Curso verano USAL • Malware • Comunicaciones o Virus inseguras o Troyanos o Wi-Fi o Software espía o Bluetooth o Rootkits o Celulares o Gusanos o locales o Parásitos • Acceso no autorizado a • Navegación insegura datos o Perdida, robo • Configuración incorrecta o Usuarios maliciosos • Aplicaciones no confiables

Riesgos de seguridad Curso verano USAL • Riesgo: o Mayor facilidad de perdida o sustracción del dispositivo  Solución preventiva o Educación del usuario: el dispositivo esta en el bolsillo o en la mano  Solución reactiva o Borrado remoto de dispositivo

Riesgos de seguridad Curso verano USAL • Riesgo: o Intrusiones locales no autorizadas o Acceso no autorizado a datos (LOPD)  Solución preventiva o Bloqueo del dispositivo o Cifrado de datos o Borrado local  Solución reactiva o borrado remoto

Riesgos de seguridad Curso verano USAL • Riesgo: o Comunicaciones inseguras  WiFi abierta, Rogue AP…  Webs maliciosas  Bluetooth abierto  Cifrados frágiles o rotos (PPTP, WEP…)  Solución preventiva o Uso de canales seguros y cifrados fuertes (IPSec, WPA2…) o Educación del usuario: no usar canales de comunicación no fiables

Riesgos de seguridad Curso verano USAL  Riesgo: o Navegación insegura  Solución preventiva o Uso de aplicaciones antimalware, bloqueo de webs maliciosas… o Restricción del uso de Internet mediante politicas de seguridad o Educación del usuario: no navegar en sitios no fiables

Riesgos de seguridad Curso verano USAL • Riesgo: o Configuración incorrecta  Solución preventiva o Usode herramientas de gestión de dispositivos

Riesgos de seguridad Curso verano USAL  Riesgo: o Malware  Solución preventiva o Uso de aplicaciones antimalware o Educación del usuario

Riesgos de seguridad Curso verano USAL  Riesgo: o Perdida de datos  Solución preventiva o Uso de herramientas de copia de seguridad

Riesgos de seguridad Curso verano USAL  Riesgo: o Aplicaciones no confiables  Solución preventiva: o Control del software autorizado para instalar en los dispositivos

Funcionalidades de seguridad en dispositivos WM Niveles de ejecución de aplicaciones Curso verano USAL • La ejecución de las aplicaciones esta basada en permisos. Los dispositivos Windows Mobile tienen tres niveles de acceso al sistema para la ejecución de un programa: • Privilegiado • Normal • Bloqueado Es el sistema operativo el que concede a una aplicación un nivel de ejecución

Funcionalidades de seguridad en dispositivos WM Niveles de ejecución de aplicaciones Curso verano USAL • Ejecución modo privilegiado: • Se puede invocar a cualquier API • Se puede escribir en áreas protegidas del registro • Acceso completo a los ficheros del sistema. • Ejecución modo normal: • No se puede invocar a las APIs de confianza • No se puede escribir en áreas protegidas del registro • No se puede escribir ficheros del sistema • No se puede instalar certificados en almacenes protegidos.

Funcionalidades de seguridad en dispositivos WM Modelos de seguridad Curso verano USAL Seguridad de una capa: o Firmado con un certificado de confianza o Las aplicaciones pueden ejecutarse sin ningún tipo de comprobación y ejecutarse con permisos privilegiados en el dispositivo o Pueden llamar a cualquier API o Se ejecutan en el dispositivo con el rol de MANAGER o No firmado o firmado con un certificado desconocido o Las aplicaciones requieren comprobación de políticas de seguridad para determinar si se podrán ejecutar. Si se permite ejecutarlas, se ejecutarán con los mismos permisos que si son aplicaciones firmadas

Funcionalidades de seguridad en dispositivos WM Modelos de seguridad Curso verano USAL Seguridad de dos capas: o Firmado con un certificado de confianza: Las aplicaciones pueden ejecutarse sin ningún tipo de comprobación o Hay distinción entre aplicaciones Privilegiadas y Normales: o Las aplicaciones firmadas con un certificado del almacén Privilegiado se ejecutan con permisos privilegiados y tienen acceso completo al dispositivo o El resto de aplicaciones se ejecutan con permisos normales. Pueden leer áreas del registro protegidas y ficheros del sistema. No pueden escribir en áreas del registro, ficheros del sistema o acceder a WindowsSystem o Las aplicaciones en modo privilegiado tienen el rol de MANAGER y en modo normal el de USER_AUTH o No firmado o firmado con un certificado desconocido o Requieren comprobación de políticas de seguridad para determinar si se podrán ejecutar. Si se permite ejecutarlas, se ejecutarán con permisos normales

Funcionalidades de seguridad en dispositivos WM Flujo de control de ejecución Curso verano USAL No firmada Ejecutar aplicación Firmada ¿Puede ejecutar No está en ¿Dónde está el aplicaciones no certificado? firmadas? el dispositivo Si Está en el Está en el No contenedor contenedor ¿Hay que avisar al normal privilegiado usuario de la ejecución? Si No Entrada de usuario Denegar Permitir ¿Una capa o dos capas? Dos Una capas capa Bloquear/denegar ejecución Ejecución normal Ejecución privilegiada

Funcionalidades de seguridad en dispositivos WM Curso verano USAL Soporte de plataforma para los modelos de seguridad Plataforma una capa dos capas Windows Mobile 5.0 Si Si (por defecto) Smartphone Windows Mobile 5.0 Si (por defecto) No PPC Phone Windows Mobile 5.0 Si (por defecto) No PPC Windows Mobile 6 Si (por defecto) No Professional Windows Mobile 6 Si (por defecto) No Classic Windows Mobile 6 Si Si (por defecto) Standard

Funcionalidades de seguridad en dispositivos WM Modelos de seguridad mas comunes Curso verano USAL Los niveles de acceso mas comunes son:  Locked  One-tier Mobile2Market Locked  One-tier prompt  Security Off  Two-tier Mobile2Market Locked  Two-tier prompt

Funcionalidades de seguridad de WM Curso verano USAL  Bloqueo local por inactividad  Desbloqueo por contraseña configurable en complejidad  Borrado local (usando Exchange 2003 SP2/ 2007, SCMDM 2008 u OMA)

Funcionalidades de seguridad de WM Curso verano USAL  Cifrado de la tarjeta de almacenamiento secundario (WM 6.1) o AES-128 o La penalización de rendimiento es mínima (penaliza mas la operación de E/S que la operación de cifrado/descifrado) o Sobrecarga del fichero: una página para la cabecera y una para cada 200K de fichero (aprox 16K para un fichero de 600K)

Funcionalidades de seguridad de WM Curso verano USAL  Comunicaciones seguras o VPN  L2TP/IPSec o WiFi  WPA-2 cifrado AES  802.1x

Funcionalidades de seguridad de WM Curso verano USAL  En WM 6.x existen 6 almacenes de certificados Almacén con privilegios  Almacén estándar  Almacén SPC (Software Publishing Certificates)  Root  CA (Intermediate)  My (personal)  Instalación de certificados con un solo click

Funcionalidades de seguridad de WM Curso verano USAL  Politicas de seguridad o 40 politicas de seguridad en los dispositivos  http://msdn.microsoft.com/en- us/library/bb416355.aspx o Configurables mediante OMA o SCMDM 2008

Herramientas de administración de seguridad Security Configuration Manager Curso verano USAL  Muestra configuración de seguridad actual del dispositivo WM o del emulador  Permite configurar el emulador con directivas comunes de seguridad para probar aplicaciones

Herramientas de administración de seguridad Device Security Manager Curso verano USAL  Device Security Manager  Integración con Visual Studio 2008  Entender y administrar las caracterisiticas de seguridad del dispositivo  Exportar configuración de seguridad  Crear una configuración de seguridad personalizada  Administrar certificados en el dispositivo  Ver certificados en el dispositivo  Añadir o eliminar certificados del dispositivo

Herramientas de administración de seguridad XML Templates Curso verano USAL Locked: • Solo las aplicaciones firmadas con un certificado digital que se encuentre en el contenedor privilegiado pueden ejecutarse • Todas las llamadas a la RAPI son rechazadas • Los certificados Mobile2Market son eliminados del dispositivo pero los certificados OEM, Mobile Operator o Enterprise siguen presentes.

Herramientas de administración de seguridad XML Templates Curso verano USAL One Tier Prompt: • Esta política permite a las aplicaciones firmadas con un certificado reconocido por el dispositivo ejecutarse sin avisar al usuario. • El dispositivo avisa al usuario antes de permitir la ejecución de aplicaciones no firmadas o firmadas incorrectamente. • Una vez la aplicación está corriendo, tiene permisos totales sobre el dispositivo.

Herramientas de administración de seguridad XML Templates Curso verano USAL Security Off: • Tanto las aplicaciones firmadas como no firmadas se les permite ser ejecutadas sin ninguna comprobación de seguridad y sin avisar al usuario. • Cualquier aplicación puede llamar a cualquier API y modificar cualquier parte del registro y del sistema de ficheros • Esta política puede ser usada durante la fase de testing de un dispositivo.

Herramientas de administración de seguridad XML Templates Curso verano USAL Mobile To Market Locked: • Las aplicaciones que están firmadas pueden ejecutarse. • Las aplicaciones que no están firmadas no pueden ejecutarse. • Una vez que la aplicación esta corriendo los permisos son determinados por la ubicación del certificado digital. • Mobile2Market es el programa de certificación y marketing de Microsoft. Los partners proporcionan una CA y servicios de forma digital para Windows Mobile. Una vez firmada la app, se puede incluir en el catálogo de M2M de aplicaciones de Microsoft.

Herramientas de administración de seguridad XML Templates Curso verano USAL Two Tier Prompt: • Esta política permite la ejecución de aplicaciones firmadas. • El dispositivo pregunta al usuario antes de ejecutar aplicaciones no firmadas. • Una vez que se ejecuta aplicación firmada, los permisos de la aplicación son determinados por el certificado: • Aplicaciones firmadas con un certificado en el contenedor Privilegiado tienen acceso sin restricciones al dispositivo • Aplicaciones firmadas con un certificado en el contenedor no privilegiado se ejecutan con permisos normales • Si un usuario permite la ejecución de aplicaciones no firmadas, se le aplican permisos normales

Herramientas de administración de seguridad Editor de registro remoto Curso verano USAL  El editor de registro remoto es una herramienta del SDK de Visual Studio .NET que permite acceder al registro de Windows Mobile tanto de emuladores como de dispositivos físicos  A través del registro de Windows Mobile se puede configurar la seguridad de los dispositivos, así como obtener su configuración actual  Las políticas de seguridad están alojadas en el registro de Windows Mobile del dispositivo: HKLMSecurity

Ensamblados de nombre seguro y ficheros SNK Curso verano USAL  Los ensamblados de nombre seguro están formados por:  la identidad del ensamblado (nombre, número de versión e info de referencia cultural)  Clave pública  Firma digital  Se genera a partir de un archivo del ensamblado (el archivo que contiene el manifiesto del ensamblado) mediante la clave privada correspondiente.

Ensamblados de nombre seguro y ficheros SNK Curso verano USAL  Los ensamblados de nombre seguro cumplen los siguientes requisitos:  Garantizan exclusividad del nombre  Protegen la procedencia de la versión de un ensamblado  Proporcionan comprobación de integridad  Solo un ensamblado de nombre seguro puede hacer referencia a otro ensamblado de nombre seguro  Se realizan comprobaciones de seguridad a la hora de cargar el ensamblado / en el momento de instalarlo en la GAC  Permite la instalación del ensamblado en la Caché de Ensamblados Global (GAC) GAC en Windows Mobile  Windowscgacutil.ex

Ensamblados de nombre seguro y ficheros SNK Curso verano USAL  Los ensamblados de nombre en los dispositivos Windows Mobile se ubican en la carpeta Windows bajo el nombre GAC_<shortname>_v<maj>_<min>_<build>_<rev>_c<culture>_<re f>.dll Al contrario que en .NET en .NETCF los ensamblados de la GAC son almacenados en IL y el CLR necesita compilarlos cada vez que los carga. El mayor beneficio que se tendría aquí se aplica al ahorro de espacio al registrar un ensamblado en la GAC GAC en Windows Mobile  Windowscgacutil.ex

Ensamblados de nombre seguro y ficheros SNK En Visual Studio 2008 Curso verano USAL  Propiedades de proyecto  Firma

¿Qué es Authenticode? Curso verano USAL  Authenticode es una tecnología desarrollada por Microsoft que permite a los equipos verificar el origen de los programas, documentos y otros tipos de ficheros  El uso mas común de Authenticode es el de certificar software que corre en Microsoft Windows  Una firma digital de Authenticode permite asegurarse de que el software es original, de que no es un troyano ni un programa potencialmente peligroso que puede enmascarar otro producto. También se utiliza para detectar si el programa ha sido modificado

¿Qué es Authenticode? Curso verano USAL  Una firma digital de Authenticode no prueba en si misma que el software que lleva no es peligroso. Sin embargo, la persona u organización que firman el software tienen que probar que ellos fueron los que publicaron el certificado. Por lo tanto los certificados son trazables.  Un certificado SPC (Software Publisher Certificate) es aquel que acredita a una entidad como distribuidora de software. Es un certificado que ha de obtenerse antes de comenzar la distribución de software y se consigue realizando una petición a una entidad emisora de certificados.

¿Donde puedo conseguir estos cerficados? Curso verano USAL  Por defecto los dispositivos Windows Mobile salen con una variedad de certificados:  Certificados raíz de confianza de los “major certificate vendors”  Mobile2Market y otros certificados de confianza que se designan al firmado de aplicaciones  Certificados adicionales que pueden ser añadidos por el OEM

¿Donde puedo conseguir estos cerficados? Curso verano USAL  A través de una Entidad emisora de Certificados de tu empresa (Servicio de Windows Certificate Server en Windows 2000/2003/2008)  A través del programa Mobile2Market  A través de cualquier entidad emisora raíz de confianza que pertenezca a la lista de CA’s de confianza de Microsoft y que emita certificados de Authenticode válidos para e-commerce

Firma digital de software En Visual Studio 2008 Curso verano USAL  Para firmar con Authenticode un ensamblado de Compact Framework  Propiedades de proyecto  Dispositivos

Taxonomia de soluciones comerciales de seguridad Curso verano USAL 41  Firewall  Anti Malware  Backup  Comunicaciones seguras  Gestión de seguridad  Gestión centralizada

Políticas de contraseñas Curso verano USAL  Uso de contraseñas fuertes o 8 caracteres mínimo o Mayúsculas, minúsculas, números, caracteres o Periodo de caducidad o Historial de contraseñas o Diccionario de contraseñas comunes  Compromiso entre seguridad y complejidad para el usuario

Soluciones anti malware Curso verano USAL  Soluciones de terceros para la prevención de infecciones, limpieza de dispositivos, anti phissing…  Evaluación del riesgo vs despliegue

Soluciones de copia de seguridad Curso verano USAL  Copia de seguridad de o Ficheros o estado del sistema o datos PIM  Contactos (SIM, personales)  Correos  Calendario

Comunicaciones seguras Curso verano USAL  Confidencialidad, integridad, autenticación, no repudio  Establecer canales seguros en medios inseguros o HTTPS o VPN  WiFi cifrada al menos con WPA  Bluetooth no descubrible  Uso de PKI

Seguridad en entornos móviles de Microsoft Curso verano USAL 46  System Management Server 2003  Exchange 2007 SP1  System Center Mobile Device Manager 2008  Aprovisionamiento de dispositivos  Estándar OMA  Piloto de seguridad del CIM

Seguridad en entornos móviles de Microsoft Systems Management Server 2003 47 Curso verano USAL  Device Management Feature Pack  Inventario hardware y software de dispositivos  Colección de ficheros  Distribución de software  Gestión de configuración  Gestion de política de contraseñas  Addin a SMC 2003  Gestiona dispositivos:  Windows Mobile Pocket PC 2002  Windows Mobile Pocket PC 2003  Windows Mobile Pocket PC 5.0  Descarga: http://technet.microsoft.com/en-us/sms/bb676769.aspx

Seguridad en entornos móviles de Microsoft Exchange 2007 Curso verano USAL  OWA (Outlook Web Access)  Acceso Web a Exchange  Acceso Premium (IE 6.0/7.0) o ligero (otros navegadores)  Autenticación: standard (básica, digest, Windows), basada en formularios, ISA Server, smart card, RSA Secur ID  Acceso a las carpetas públicas  Soporta navegación desde PDA  Autoservicio de usuario  Borrado de dispositivos móviles  Restablecimiento de PIN

Seguridad en entornos móviles de Microsoft EAS (Exchange Active Sync) Curso verano USAL  Acceso y sincronización desde dispositivos móviles (WM5 y WM6) de correo, calendario, tareas y contactos  Cifrado y compresion de los datos enviados y recibidos  Direct Push  Politicas de seguridad  Borrado local y remoto  Recuperación de contraseña

Seguridad en entornos móviles de Microsoft Gestión de dispositivos 50 Curso verano USAL CAL standard Sincronización Autenticación Cifrado  Configurar formato de mensajes (HTML o  Caracteres mínimos en contraseñas  Requerir mensajes con firma SMIME texto plano) complejas  Requerir mensaje cifrados SMIME  Incluir correos antiguos  Habilitar recuperación de contraseña  Requerir algoritmo de firma SMIME  Tamaño del truncado del cuerpo (plano o  Permitir contraseñas sencillas  Requerir algoritmo de cifrado SMIME HTML)  Caducidad de la contraseña (días)  Permitir negociación de algoritmo de  Incluir citas de calendario pasadas  Histórico de contraseñas cifrado SMIME  Requerir sincronización manual si se esta en  Acceso a ficheros compartidos de Windows  Permitir SMIME SoftCerts roaming  Acceso a sharepoint  Cifrado del dispositivo  Permitir descargas de adjuntos  Longitud mínima de la contraseña  Cifrado de la tarjeta de almacenamiento  Tamaño máximo de adjuntos  Timeout por inactividad  Requerir contraseña  Requerir contraseña compleja  Número de intentos fallidos  Intervalo de refresco de la política  Permitir dispositivos no provisionables

Seguridad en entornos móviles de Microsoft Gestión de dispositivos 51 Curso verano USAL CAL Enterprise Control de dispositivo Control de conexiones Control de aplicaciones  Deshabilitar ActiveSync  Deshabilitar Wi-Fi  Deshabilitar correo  Deshabilitar Bluetooth POP3/IMAP4  Deshabilitar almacenamiento extraíble  Deshabilitar IrDA  Permitir correo de usuario  Deshabilitar cámara  Permitir conexión a Internet  Permitir navegador compartida  Permitir aplicaciones no  Deshabilitar SMS y MMS firmadas  Permitir compartir escritorio desde el dispositivo  Permitir CABs no firmados  Lista blanca de aplicaciones  Lista negra de aplicaciones

Seguridad en entornos móviles de MicrosoftCaracteristicas de SCMDM 2008 52 Curso verano USAL  Gestión del dispositivo  Gestión centralizada  Aprovisionamiento y arranque totalmente OTA (Over The Air).  Distribución de software OTA SCMDM 2008  Inventariado del hardware y software de los dispositivos móviles  Capacidades de reportes  Gestión de seguridad  Unión a dominio  Cifrado del sistema de ficheros del dispositivo y/o de la tarjeta de almacenamiento secundario  Listas blancas y negras de aplicaciones  Instalación de aplicaciones firmadas  Borrado remoto (wipe) completo del dispositivo Gestión del  Bloqueo por inactividad dispositivo VPN móvil  Complejidad de contraseñas  Control de comunicaciones  VPN móvil Gestión de  Autenticación de máquina y seguridad de doble sobre Persistencia de sesión seguridad y reconexión rápida  Roaming Internet/red de trabajo  Basado en estándar (IKEv2, Túnel en modo IPSEC)

Seguridad en entornos móviles de Microsoft Enroll en el dispositivo 53 Curso verano USAL

Seguridad en entornos móviles de Microsoft de distribución de software Proceso 54 Curso verano USAL Servidor de gestión (1) Conexión con el servidor de gateway (2) Conexión con el servidor de gestión (4) Envío de software (4) Envío de software (5) Notificación de instalación (5) Notificación de instalación Servidor de gateway Repositorio de software

Seguridad en entornos móviles de Microsoft Políticas para dispositivos moviles Curso verano USAL 55 Computer settings

Seguridad en entornos móviles de Microsoft Políticas para usuarios moviles 56 Curso verano USAL User Configuration

Seguridad en entornos móviles de Microsoft VPN Móvil: Caracteristicas 57 Curso verano USAL  Seguridad de doble sobre  Tunel IPSec  Tráfico SSL  Persistencia de sesión  Reconexión rápida  Roaming entre redes  Básada en estandares Mobile  OMA DM Gateway  IPSec  IKE v2 y MobIKE Internet  SCOMO (Borrador de OMA para gestión de software) Túnel IPSec Tráfico SSL  El GW Server hará de proxy hacia Internet o la zona corporativa

Seguridad en entornos móviles de Microsoft VPN en el dispositivo 58 Curso verano USAL  TODO el tráfico del dispositivo se dirige al GW vía VPN  no hay conexión directa a Internet  Puede desconectarse la VPN en el dispositivo

Aprovisionamiento de dispositivos 59 Curso verano USAL  ¿Qué es el aprovisionamiento de dispositivos móviles?  Gestión del dispositivo después de ser desplegado en una infraestructura de red  Configuración del dispositivo e instalación o actualización de aplicaciones  Gestión controlada mediante un servidor  Se utilizan ficheros XML (CPF) que contiene la información sobre la configuración y que se envían al dispositivo  Los CSP (como el gestor de configuración) en el dispositivo configuran el dispositivo de acuerdo al contenido del XML  Mediante el aprovisionamiento es posible:  Cambiar la configuración del core y el registro  Configurar, añadir, actualizar o desinstalar software  Actualizar el SO con nuevos componentes  Personalizar y añadir componentes de interfaz de usuario  Activar software disponible en ROM u OTA

Aprovisionamiento de dispositivos Estándar OMA 60 Curso verano USAL  Open Mobile Alliance  Misión. Su misión es proporcionar servicios interoperables que permitan trabajar a través de países, operadoras y dispositivos móviles.  Independencia de la red. Las especificaciones OMA son agnósticas en cuanto al tipo de tecnología de red a utilizar en la conexión y el transporte de datos. La especificación de OMA para una funcionalidad concreta, es la misma para redes GSM, UMTS o CDMA2000.  Voluntaria. OMA no es una organización de estándares promovida y patrocinada por el gobierno como podría ser ITU. No obstante, sí pretende ser un foro para que las principales compañías de la industria se pongan de acuerdo y sigan unas especificaciones comunes para sus productos y servicios. Estrictamente hablando, el cumplimiento de los estándares es completamente voluntario puesto que OMA no tiene un poder mandatario.  Licencia de propiedad intelectual "FRAND". Los miembros que posean derechos de propiedad intelectual (p.ej. patentes) en tecnologías esenciales para la realización de una especificación deben estar de acuerdo en proporcionar licencias para su tecnología de una forma "justa, razonable y no discriminatoria" (FRAND - "fair, reasonable and non- discriminatory", del inglés) a los demás miembros de la OMA.

Aprovisionamiento de dispositivos Estándar OMA 61 Curso verano USAL  Se Definen:  Proveedores de configuración (CSP)  Métodos de transporte  DM  Client  RAPI  Formato de fichero de aprovisionamiento

Aprovisionamiento de dispositivos Estándar OMA: CSP 62 Curso verano USAL CSP Descripción CSP Descripción Permite que un servidor OMD DM v1.2 maneje objetos OMA DM account. El servidor puede Especifica las redes de destino a las que pueden conectarse múltiples utilizar este proveedor de servicios de configuración para agregar una nueva cuenta o para ACCESS DMS objetos. administrar una cuenta existente, incluyendo una cuenta aprovisionada mediante el CSP w7 APPLICATION. Habilita a un servidor OMA DM para descargar aplicaciones en ficheros .cab e instalar las APPLICATION w2 Añade un nuevo favorito. Download aplicaciones. APPLICATION w4 Configura el servicio Multimedia (MMS). EMAIL2 Configura los servicios de e-mail del protocolo de internet. APPLICATION w7 Establece una cuenta OMA DM En el dispositivo. FileOperation Administra los archivos y directorios del dispositivo. Consulta el sistema de archivos del dispositivo para obtener información sobre los ficheros del APPLICATION 110 Configura el servicio POP3. FileSystem dispositivo. Utilizado para actualizaciones de firmware. Gestiona la URL de actualización de paquetes y APPLICATION 143 Configura el servicio IMAP. FwUpdate notifica al usuario las nuevas actualizaciones utilizando el Download Agent UI. APPLICATION 25 Configura el servicio SMTP. Home Configura la pantalla Home del dispositivo. Permite que el servidor OMA DM consulte el hardware del dispositivo, información del Bluetooth Configura el modo de operación Bluetooth. Inventory sistema, información sobre el sistema de ficheros, así como las aplicaciones que hay instaladas en el dispositivo. Utilizado para agregar, modificar, eliminar y consultar certificados o hashes binarios en la lista BOOTSTRAP Establece el TPS para el dispositivo. LoaderRevocation de revocación. BrowserFavorite Agrega o elimina URLs de la lista de favoritos del dispositivo. Locale Configura los ajustes regionales del dispositivo. Camera Habilita o deshabilita la cámara en un dispositivo. Metabase Utilizado para agregar, modificar y eliminar entradas de la metabase. Configura los tipos de certificados y activa el enrollment del dispositivo. CertificateEnroller NAP Configura los datos y conexiones celulares del dispositivo. Consulta y renueva los certificados del lado del dispositivo. Agrega certificados de seguridad y máscaras de rol en el almacén de Agrega, modifica y elimina definiciones de puntos de acceso a redes WAP (NAPDEFs), así CertificateStore NAPDEF certificados del dispositivo. como sus correspondientes ajustes. Clock Establece el tiempo y la fecha del dispositivo NetworkPolicy Configura las políticas de red para Bluetooth, IrDA y Wi-Fi. Configura las entradas GPRS (General Packet Radio Services) del CM GPRSEntries Obex Configura el servidor Obex, el cual gestiona las comunicaciones Bluetooth e infrarroja. dispositivo.

Aprovisionamiento de dispositivos Estándar OMA:CSP 63 Curso verano USAL CSP Descripción CSP Descripción Configura las entradas de red mediante proxy. Cada nodo proxy numerado configura una CM Mappings Configura la tabla de mapeo de URL. PROXY conexión proxy. CM NetEntries Configura entradas de red adicionales en el dispositivo. PXLOGICAL Agrega, elimina y modifica WAP lógico y proxys físicos. CM Networks Configura las conexiones de red en el dispositivo. Registry Configura el registro del dispositivo. CM Planner Configura las conexiones preferidas por Connection Manager. RemoteWipe Utilizado por el servidor para iniciar remotamente el borrado del dispositivo. Utilizado por el servidor para consultar al dispositivo los paquetes ROM de la versión empleada CM PPPEntries Configura las entradas del protocolo punto a punto (PPP) del dispositivo. ROMPackage por la actualización de firmware. Habilita un listado de bloques seguros de archivos binarios en la ROM de un dispositivo, así CM ProxyEntries Configura las conexiones proxy. SoftwareDisable como una lista de acceso seguro de ficheros binarios no firmados en RAM. CM VPNEntries Configura las entradas de redes privadas virtuales (VPN). SecurityPolicy Configura los ajustes de las políticas de seguridad del dispositivo. Configura las entradas de redes WiFi. Nota: Este CSP está en desuso, se CM WiFiEntries incluye por razones de compatibilidad hacia atrás, para dispositivos Sounds Configura los sonidos asociados con varios eventos del dispositivo. Windows Mobile se recomienda utilizar el CSP Wi-Fi. Configura las conexiones preferidas por Connection Manager. Nota: Este Permite rellenar las entradas de velocidad de marcado antes de la entrega del dispositivo al CMPLANNER CSP es una extensión exclusiva de OMA DM. Para aprovisionar SpeedDial usuario. dispositivos con OMA Client ha de emplearse CM Planner. Maneja el objeto DevDetail de OMA MD, el cual contiene parámetros DevDetail Sync Configura los ajustes de sincronización del dispositivo. específicos del dispositivo. Configura los ajustes de telefonía del sistema global de comunicaciones móviles (GSM – Global DeviceEncryption Protege datos confidenciales utilizando cifrado. Tapi System Mobile Communications). Permite que el servidor consulte información general al dispositivo, como la Elimina aplicaciones del dispositivo. Nota: Con OMA DM sólo es posible consultar las DeviceInformation UnInstall versión del SO o el uso de memoria. aplicaciones instaladas en el dispositivo, no es posible desinstalarlas. Maneja el objeto DevInfo de OMA DM. Este objeto contiene información DevInfo VoIP Configura o consulta los ajustes de voz sobre IP. del dispositivo y se envía al servidor al inicio de cada sesión OMA DM. Maneja el objeto DMAcc de OMA DM, el cual almacena los ajustes específicos del servidor OMA DM. Estos ajustes se conocen en conjunto DMAcc VNP Permite al servidor configurar remotamente las entradas VPN del dispositivo. como OMA DM account. El nodo DMAcc es común a todos los nodos OMA DM account. Wi-Fi Configura o consulta los ajustes de Wi-Fi.

Aprovisionamiento de dispositivos Roles de acceso a CSP 64 Curso verano USAL Rol Descripción None SECROLE_NONE Sin rol asignado La configuración puede ser cambiada por el o administrador. Este rol permite acceso a todos Manager SECROLE_MANAGER los recursos del sistema Enterprise Rol para administrador de Exchange. Permite gestionar configuraciones como borrado del SECROLE_ENTERPRISE dispositivo, gestión de contraseñas y certificados Rol del propietario del dispositivo. Los permisos están determinados por la configuración del Authenticated User recurso al que se solicita acceso. Este rol también se asigna a: SECROLE_USER_AUTH •Mensajes WAP push firmados con PIN. •Mensajes recibidos por RAPI. Unauthenticated Rol anónimo. SECROLE_USER_UNAUTH User Asignado a mensaje WAP sin firmar. Permite instalar fondos de pantalla o tonos de llamada Operator SECROLE_OPERATOR Trusted SECROLE_OPERATOR_TPS Provisioning Server Known Push Proxy SECROLE_KNOWN_PPG Gateway Device Trusted Roles asignados a servidores Trusted Provisioning Server (TPS) de Wireless Application Push Proxy SECROLE_PPG_TRUSTED Protocol (WAP). Gateway Push Initiator SECROLE_PPG_AUTH Authenticated Trusted Push Proxy SECROLE_TRUSTED_PPG Gateway Any Push Message SECROLE_ANY_PUSH_SOURCE

Aprovisionamiento de dispositivos Ejemplo de fichero 65 Curso verano USAL <?xml version="1.0"?> <wap-provisioningdoc> <characteristic type="SecurityPolicy“> <parm name="4131" value="0"/> </characteristic> <characteristic type="Registry“> <characteristic type="HKLMCommSecurityPolicyLASSD"> <parm name="DeviceWipeThreshold" value="3” datatype="integer"/> </characteristic> </characteristic> </wap-provisioningdoc>

Piloto configuración dispositivos 66 Curso verano USAL  Funcionalidades: o Posibilidad configurar hasta 53 servicios en un dispositivo o Varias plataformas de destino o Generación de archivos XML en formato OMA Client o Generación de archivos .cab o Envío de archivos .cab a dispositivo o Configuración de dispositivos desde el interfaz o Impresión de archivos XML

Piloto configuración dispositivos 67 Curso verano USAL

Parque Tecnológico de Boecillo. Anexo Edificio Solar · 47151 Boecillo (Valladolid) Tlf: 983 549 630 · Fax: 983 549 752 · www.micmovilidad.es Curso verano USAL

http://www.elladodelmal.com	232
http://www.slideshare.net	63
http://elladodelmal.blogspot.com	43

Seguridad en dispositivos móviles

by Chema Alonso on Jul 15, 2009

Accessibility

Categories

Tags

Upload Details

Usage Rights

3 Embeds 338

Statistics

Seguridad en dispositivos móviles — Presentation Transcript