Seguridad en dispositivos móviles

Curso verano USAL

Curso verano USAL

Agenda

Riesgos cómunes en dispositivos móviles Malware

Navegación insegura

Configuración incorrecta

Aplicaciones no confiables

Comunicaciones inseguras

Acceso no autorizado a datos

Funcionalidades de seguridad en WM Modelo de seguridad

Una capa

Dos capas

Bloqueo del dispositivo

Cifrado del dispositivo

Borrado del dispositivo

Comunicaciones seguras

Certificados

Politicas de seguridad

Taxonomia de soluciones comerciales de seguridad

Herramientas de administración de seguridad

Seguridad en programación Firma de código

Seguridad en entornos móviles de Microsoft System Management Server 2003

Exchange 2007

SCMDM 2008

Aprovisionamiento de dispositivos Estándar OMA

Piloto de seguridad del CIM

Curso verano USAL

Riesgos comunes en dispositivos móviles

• Malware

o Virus

o Troyanos

o Software espía

o Rootkits

o Gusanos

o Parásitos

• Navegación insegura

• Configuración incorrecta

• Aplicaciones no confiables

• Comunicaciones inseguras

o Wi-Fi

o Bluetooth

o Celulares

o locales

• Acceso no autorizado a datos

o Perdida, robo

o Usuarios maliciosos

Curso verano USAL

Riesgos de seguridad

• Riesgo:

o Mayor facilidad de perdida o

sustracción del dispositivo

Solución preventiva

o Educación del usuario: el dispositivo

esta en el bolsillo o en la mano

Solución reactiva

o Borrado remoto de dispositivo

Curso verano USAL


• Riesgo:o Intrusiones locales no autorizadaso Acceso no autorizado a datos (LOPD)

Solución preventivao Bloqueo del dispositivoo Cifrado de datoso Borrado local

Solución reactivao borrado remoto

Curso verano USAL


• Riesgo:o Comunicaciones inseguras

WiFi abierta, Rogue AP…

Webs maliciosas

Bluetooth abierto

Cifrados frágiles o rotos (PPTP, WEP…)

Solución preventivao Uso de canales seguros y cifrados

fuertes (IPSec, WPA2…)o Educación del usuario: no usar canales

de comunicación no fiables

Curso verano USAL


Riesgo:

o Navegación insegura


o Uso de aplicaciones antimalware, bloqueo de webs maliciosas…

o Restricción del uso de Internet mediante politicas de seguridad

o Educación del usuario: no navegar en sitios no fiables

Curso verano USAL


• Riesgo:

o Configuración

incorrecta Solución preventiva

o Uso de herramientas

de gestión de

dispositivos

Curso verano USAL


Riesgo:

o Malware


o Uso de aplicaciones

antimalware

o Educación del usuario

Curso verano USAL


Riesgo:

o Perdida de datos


o Uso de herramientas de copia de

seguridad

Curso verano USAL


Riesgo:

o Aplicaciones no confiables

Solución preventiva:

o Control del software autorizado para instalar en los dispositivos

Curso verano USAL

Funcionalidades de seguridad en dispositivos WM

• La ejecución de las aplicaciones esta basada en permisos. Los dispositivos Windows Mobile tienen tres niveles de acceso al sistema para la ejecución de un programa:

• Privilegiado

• Normal

• Bloqueado

Es el sistema operativo el que concede a una aplicación un nivel de ejecución

Niveles de ejecución de aplicaciones

Curso verano USAL

• Ejecución modo privilegiado:• Se puede invocar a cualquier API

• Se puede escribir en áreas protegidas del registro

• Acceso completo a los ficheros del sistema.

• Ejecución modo normal:• No se puede invocar a las APIs de confianza

• No se puede escribir en áreas protegidas del registro

• No se puede escribir ficheros del sistema

• No se puede instalar certificados en almacenes protegidos.

Funcionalidades de seguridad en dispositivos WM Niveles de ejecución de aplicaciones

Curso verano USAL

Seguridad de una capa:

o Firmado con un certificado de confianzao Las aplicaciones pueden ejecutarse sin ningún tipo de

comprobación y ejecutarse con permisos privilegiados enel dispositivo

o Pueden llamar a cualquier API

o Se ejecutan en el dispositivo con el rol de MANAGER

o No firmado o firmado con un certificado desconocidoo Las aplicaciones requieren comprobación de políticas de

seguridad para determinar si se podrán ejecutar. Si sepermite ejecutarlas, se ejecutarán con los mismospermisos que si son aplicaciones firmadas

Modelos de seguridad


Curso verano USAL

Seguridad de dos capas:

o Firmado con un certificado de confianza: Las aplicaciones puedenejecutarse sin ningún tipo de comprobación

o Hay distinción entre aplicaciones Privilegiadas y Normales:

o Las aplicaciones firmadas con un certificado del almacén Privilegiado seejecutan con permisos privilegiados y tienen acceso completo aldispositivo

o El resto de aplicaciones se ejecutan con permisos normales. Pueden leeráreas del registro protegidas y ficheros del sistema. No pueden escribiren áreas del registro, ficheros del sistema o acceder a \Windows\System

o Las aplicaciones en modo privilegiado tienen el rol de MANAGER yen modo normal el de USER_AUTH

o No firmado o firmado con un certificado desconocido

o Requieren comprobación de políticas de seguridad para determinar sise podrán ejecutar. Si se permite ejecutarlas, se ejecutarán conpermisos normales

Modelos de seguridad


Curso verano USAL

Flujo de control de ejecución

Ejecutar aplicación

¿Puede ejecutar aplicaciones no

firmadas?

¿Dónde está el certificado?

¿Hay que avisar al usuario de la ejecución?

Entrada de usuario

¿Una capa o dos capas?

Bloquear/denegar ejecución Ejecución normal Ejecución privilegiada

No firmada Firmada

No está en

el dispositivo

SiNo

No

Si

PermitirDenegar

Dos

capasUna

capa

Está en el

contenedor

normal

Está en el

contenedor

privilegiado


Curso verano USAL

Soporte de plataforma para los modelos de seguridad

Plataforma una capa dos capas

Windows Mobile 5.0 Smartphone

Si Si (por defecto)

Windows Mobile 5.0 PPC Phone

Si (por defecto) No

Windows Mobile 5.0 PPC

Si (por defecto) No

Windows Mobile 6 Professional

Si (por defecto) No

Windows Mobile 6 Classic

Si (por defecto) No

Windows Mobile 6 Standard

Si Si (por defecto)


Curso verano USAL

Los niveles de acceso mas comunes son: LockedOne-tier Mobile2Market LockedOne-tier prompt Security OffTwo-tier Mobile2Market LockedTwo-tier prompt

Modelos de seguridad mas comunes


Curso verano USAL

Funcionalidades de seguridad de WM

Bloqueo local por inactividad

Desbloqueo por contraseña configurable en complejidad

Borrado local (usando Exchange 2003 SP2/ 2007, SCMDM 2008 u OMA)

Curso verano USAL


Cifrado de la tarjeta de almacenamiento secundario (WM 6.1)o AES-128

o La penalización de rendimiento es mínima (penaliza mas la operación de E/S que la operación de cifrado/descifrado)

o Sobrecarga del fichero: una página para la cabecera y una para cada 200K de fichero (aprox 16K para un fichero de 600K)

Curso verano USAL


Comunicaciones

seguras

o VPN

L2TP/IPSec

o WiFi

WPA-2 cifrado AES

802.1x

Curso verano USAL


En WM 6.x existen 6 almacenes de certificados Almacén con privilegios

Almacén estándar

Almacén SPC (Software Publishing Certificates)

Root

CA (Intermediate)

My (personal)

Instalación de certificados con un solo click

Curso verano USAL



o 40 politicas de seguridad en los dispositivos

http://msdn.microsoft.com/en-

us/library/bb416355.aspx

o Configurables mediante OMA o SCMDM 2008

http://msdn.microsoft.com/en-us/library/bb416355.aspx




Curso verano USAL


Muestra configuración de seguridad actual del dispositivo WM o del emulador

Permite configurar el emulador con directivas comunes de seguridad para probar aplicaciones

Security Configuration Manager

Curso verano USAL

Herramientas de administración de seguridad Device Security Manager

Device Security Manager Integración con Visual Studio 2008

Entender y administrar las caracterisiticas de seguridad del dispositivo

Exportar configuración de seguridad

Crear una configuración de seguridad personalizada

Administrar certificados en el dispositivo Ver certificados en el dispositivo

Añadir o eliminar certificados del dispositivo

Curso verano USAL


Locked:

• Solo las aplicaciones firmadas con un certificado digital que se encuentre en el contenedor privilegiado pueden ejecutarse

• Todas las llamadas a la RAPI son rechazadas

• Los certificados Mobile2Market son eliminados del dispositivo pero los certificados OEM, Mobile Operatoro Enterprise siguen presentes.

XML Templates

Curso verano USAL


One Tier Prompt:

• Esta política permite a las aplicaciones firmadas con un certificado reconocido por el dispositivo ejecutarse sin avisar al usuario.

• El dispositivo avisa al usuario antes de permitir la ejecución de aplicaciones no firmadas o firmadas incorrectamente.

• Una vez la aplicación está corriendo, tiene permisos totales sobre el dispositivo.

XML Templates

Curso verano USAL

Security Off:

• Tanto las aplicaciones firmadas como no firmadas se les permite ser ejecutadas sin ninguna comprobación de seguridad y sin avisar al usuario.

• Cualquier aplicación puede llamar a cualquier API y modificar cualquier parte del registro y del sistema de ficheros

• Esta política puede ser usada durante la fase de testingde un dispositivo.


XML Templates

Curso verano USAL

Mobile To Market Locked:

• Las aplicaciones que están firmadas pueden ejecutarse.

• Las aplicaciones que no están firmadas no pueden ejecutarse.

• Una vez que la aplicación esta corriendo los permisos son determinados por la ubicación del certificado digital.

• Mobile2Market es el programa de certificación y marketing de Microsoft. Los partners proporcionan una CA y servicios de forma digital para Windows Mobile. Una vez firmada la app, se puede incluir en el catálogo de M2M de aplicaciones de Microsoft.


XML Templates

Curso verano USAL

Two Tier Prompt:• Esta política permite la ejecución de aplicaciones firmadas.

• El dispositivo pregunta al usuario antes de ejecutar aplicaciones no firmadas.

• Una vez que se ejecuta aplicación firmada, los permisos de la aplicación son determinados por el certificado:• Aplicaciones firmadas con un certificado en el contenedor

Privilegiado tienen acceso sin restricciones al dispositivo

• Aplicaciones firmadas con un certificado en el contenedor no privilegiado se ejecutan con permisos normales

• Si un usuario permite la ejecución de aplicaciones no firmadas, se le aplican permisos normales


XML Templates

Curso verano USAL


El editor de registro remoto es una herramienta del SDK de Visual Studio .NET que permite acceder al registro de Windows Mobile tanto de emuladores como de dispositivos físicos

A través del registro de Windows Mobile se puede configurar la seguridad de los dispositivos, así como obtener su configuración actual

Las políticas de seguridad están alojadas en el registro de Windows Mobile del dispositivo: HKLM\Security

Editor de registro remoto

Curso verano USAL

Ensamblados de nombre seguro y ficheros SNK

Los ensamblados de nombre seguro están formados por:

la identidad del ensamblado (nombre, número de versión e info de referencia cultural)

Clave pública

Firma digital

Se genera a partir de un archivo del ensamblado (el archivo que contiene el manifiesto del ensamblado) mediante la clave privada correspondiente.

Curso verano USAL


Los ensamblados de nombre seguro cumplen los siguientes requisitos: Garantizan exclusividad del nombre Protegen la procedencia de la versión de un ensamblado Proporcionan comprobación de integridad Solo un ensamblado de nombre seguro puede hacer

referencia a otro ensamblado de nombre seguro Se realizan comprobaciones de seguridad a la hora de

cargar el ensamblado / en el momento de instalarlo en la GAC

Permite la instalación del ensamblado en la Caché de Ensamblados Global (GAC)

GAC en Windows Mobile

\Windows\cgacutil.exe

Curso verano USAL


Los ensamblados de nombre en los dispositivos Windows Mobile se ubican en la carpeta \Windows bajo el nombre GAC_<shortname>_v<maj>_<min>_<build>_<rev>_c<culture>_<ref>.dll

GAC en Windows Mobile

\Windows\cgacutil.exe

Al contrario que en .NET en .NETCF

los ensamblados de la GAC son

almacenados en IL y el CLR necesita

compilarlos cada vez que los carga.

El mayor beneficio que se tendría aquí

se aplica al ahorro de espacio al

registrar un ensamblado en la GAC

Curso verano USAL


Propiedades de proyecto Firma

En Visual Studio 2008

Curso verano USAL

¿Qué es Authenticode?

Authenticode es una tecnología desarrollada por Microsoft que permite a los equipos verificar el origen de los programas, documentos y otros tipos de ficheros

El uso mas común de Authenticode es el de certificar software que corre en Microsoft Windows

Una firma digital de Authenticode permite asegurarse de que el software es original, de que no es un troyano ni un programa potencialmente peligroso que puede enmascarar otro producto. También se utiliza para detectar si el programa ha sido modificado

Curso verano USAL

¿Qué es Authenticode?

Una firma digital de Authenticode no prueba en si misma que el software que lleva no es peligroso. Sin embargo, la persona u organización que firman el software tienen que probar que ellos fueron los que publicaron el certificado.

Por lo tanto los certificados son trazables.

Un certificado SPC (Software Publisher Certificate) es aquel que acredita a una entidad como distribuidora de software. Es un certificado que ha de obtenerse antes de comenzar la distribución de software y se consigue realizando una petición a una entidad emisora de certificados.

Curso verano USAL

¿Donde puedo conseguir estos cerficados?

Por defecto los dispositivos Windows Mobile salen con una variedad de certificados:

Certificados raíz de confianza de los “major certificatevendors”

Mobile2Market y otros certificados de confianza que se designan al firmado de aplicaciones

Certificados adicionales que pueden ser añadidos por el OEM

Curso verano USAL

¿Donde puedo conseguir estos cerficados?

A través de una Entidad emisora de Certificados de tu empresa (Servicio de Windows Certificate Server en Windows 2000/2003/2008)

A través del programa Mobile2Market

A través de cualquier entidad emisora raíz de confianza que pertenezca a la lista de CA’s de confianza de Microsoft y que emita certificados de Authenticode válidos para e-commerce

Curso verano USAL

Firma digital de software

Para firmar con Authenticode un ensamblado de Compact Framework

Propiedades de proyecto Dispositivos

En Visual Studio 2008

Curso verano USAL

Taxonomia de soluciones comerciales de seguridad

Firewall

Anti Malware

Backup


Gestión de seguridad

Gestión centralizada

41

Curso verano USAL

Políticas de contraseñas

Uso de contraseñas fuerteso 8 caracteres mínimo

o Mayúsculas, minúsculas, números, caracteres

o Periodo de caducidad

o Historial de contraseñas

o Diccionario de contraseñas comunes

Compromiso entre seguridad y complejidad para el usuario

Curso verano USAL

Soluciones anti malware

Soluciones de terceros

para la prevención de

infecciones, limpieza de

dispositivos,

anti phissing…

Evaluación del riesgo vs

despliegue

Curso verano USAL

Soluciones de copia de seguridad

Copia de seguridad de

o Ficheros

o estado del sistema

o datos PIM

Contactos (SIM, personales)

Correos

Calendario

Curso verano USAL


Confidencialidad, integridad, autenticación, no repudio

Establecer canales seguros en medios inseguros

o HTTPS

o VPN

WiFi cifrada al menos con WPA

Bluetooth no descubrible

Uso de PKI

Curso verano USAL

Seguridad en entornos móviles de Microsoft

System Management Server 2003

Exchange 2007 SP1

System Center Mobile Device Manager 2008

Aprovisionamiento de dispositivos

Estándar OMA

Piloto de seguridad del CIM

46

Curso verano USAL

Device Management Feature Pack Inventario hardware y software de dispositivos

Colección de ficheros

Distribución de software

Gestión de configuración

Gestion de política de contraseñas

Addin a SMC 2003

Gestiona dispositivos: Windows Mobile Pocket PC 2002

Windows Mobile Pocket PC 2003

Windows Mobile Pocket PC 5.0

Descarga: http://technet.microsoft.com/en-us/sms/bb676769.aspx

47


Systems Management Server 2003

http://technet.microsoft.com/en-us/sms/bb676769.aspx



Curso verano USAL

OWA (Outlook Web Access) Acceso Web a Exchange

Acceso Premium (IE 6.0/7.0) o ligero (otros navegadores)

Autenticación: standard (básica, digest, Windows), basada en formularios, ISA Server, smart card, RSA Secur ID

Acceso a las carpetas públicas

Soporta navegación desde PDA

Autoservicio de usuario Borrado de dispositivos

móviles

Restablecimiento de PIN


Exchange 2007

Curso verano USAL

EAS (Exchange Active Sync)

Acceso y sincronización desde dispositivos móviles (WM5 y WM6) de correo, calendario, tareas y contactos

Cifrado y compresion de los datos enviados y recibidos

Direct Push


Borrado local y remoto

Recuperación de contraseña


Curso verano USAL50

Sincronización

Configurar formato de mensajes (HTML o texto plano)

Incluir correos antiguos

Tamaño del truncado del cuerpo (plano o HTML)

Incluir citas de calendario pasadas

Requerir sincronización manual si se esta en roaming

Permitir descargas de adjuntos

Tamaño máximo de adjuntos

Autenticación

Caracteres mínimos en contraseñas complejas

Habilitar recuperación de contraseña

Permitir contraseñas sencillas

Caducidad de la contraseña (días)

Histórico de contraseñas

Acceso a ficheros compartidos de Windows

Acceso a sharepoint

Longitud mínima de la contraseña

Timeout por inactividad

Requerir contraseña

Requerir contraseña compleja

Número de intentos fallidos

Intervalo de refresco de la política

Permitir dispositivos no provisionables

Cifrado

Requerir mensajes con firma SMIME

Requerir mensaje cifrados SMIME

Requerir algoritmo de firma SMIME

Requerir algoritmo de cifrado SMIME

Permitir negociación de algoritmo de cifrado SMIME

Permitir SMIME SoftCerts

Cifrado del dispositivo

Cifrado de la tarjeta de almacenamiento

CAL standard


Gestión de dispositivos

Curso verano USAL51

Control de dispositivo

Deshabilitar ActiveSync

Deshabilitar almacenamiento extraíble

Deshabilitar cámara

Deshabilitar SMS y MMS

Control de conexiones

Deshabilitar Wi-Fi

Deshabilitar Bluetooth

Deshabilitar IrDA

Permitir conexión a Internet compartida

Permitir compartir escritorio desde el dispositivo

Control de aplicaciones

Deshabilitar correo POP3/IMAP4

Permitir correo de usuario

Permitir navegador

Permitir aplicaciones no firmadas

Permitir CABs no firmados

Lista blanca de aplicaciones

Lista negra de aplicaciones

CAL Enterprise


Gestión de dispositivos

Curso verano USAL

Caracteristicas de SCMDM 2008

Gestión del dispositivo

Gestión centralizada

Aprovisionamiento y arranque totalmente OTA (Over The Air).

Distribución de software OTA

Inventariado del hardware y software de los dispositivos móviles

Capacidades de reportes

Gestión de seguridad Unión a dominio

Cifrado del sistema de ficheros del dispositivo y/o de la tarjeta de almacenamiento secundario

Listas blancas y negras de aplicaciones

Instalación de aplicaciones firmadas

Borrado remoto (wipe) completo del dispositivo

Bloqueo por inactividad

Complejidad de contraseñas

Control de comunicaciones

VPN móvil Autenticación de máquina y seguridad de doble sobre Persistencia de sesión

y reconexión rápida

Roaming Internet/red de trabajo

Basado en estándar (IKEv2, Túnel en modo IPSEC)

52

SCMDM 2008

VPN móvil

Gestión de

seguridad

Gestión del

dispositivo


Curso verano USAL

Enroll en el dispositivo

53


Curso verano USAL

Proceso de distribución de software

54

(1) Conexión con el servidor de gateway

(5) Notificación de instalación

Servidor de

gateway

Servidor de

gestión

Repositorio

de

software

(4) Envío de software

(2) Conexión con el servidor de gestión

(4) Envío de software

(5) Notificación de instalación


Curso verano USAL

Políticas para dispositivos moviles

55

Computer settings


Curso verano USAL

Políticas para usuarios moviles56

User Configuration


Curso verano USAL

VPN Móvil: Caracteristicas

57

Mobile

Gateway

Internet

Túnel IPSec

Tráfico SSL

Seguridad de doble sobre Tunel IPSec

Tráfico SSL

Persistencia de sesión

Reconexión rápida

Roaming entre redes

Básada en estandares OMA DM

IPSec

IKE v2 y MobIKE

SCOMO (Borrador de OMA para gestión de software)

El GW Server hará de proxy hacia Internet o la zona corporativa


Curso verano USAL

VPN en el dispositivo

58

TODO el tráfico del dispositivo se dirige al GW vía VPN no hay conexión directa a Internet

Puede desconectarse la VPN en el dispositivo


Curso verano USAL

¿Qué es el aprovisionamiento de dispositivos móviles?

Gestión del dispositivo después de ser desplegado en una infraestructura de red

Configuración del dispositivo e instalación o actualización de aplicaciones

Gestión controlada mediante un servidor

Se utilizan ficheros XML (CPF) que contiene la información sobre la configuración y que se envían al dispositivo

Los CSP (como el gestor de configuración) en el dispositivo configuran el dispositivo de acuerdo al contenido del XML

Mediante el aprovisionamiento es posible:

Cambiar la configuración del core y el registro

Configurar, añadir, actualizar o desinstalar software

Actualizar el SO con nuevos componentes

Personalizar y añadir componentes de interfaz de usuario

Activar software disponible en ROM u OTA

59


Curso verano USAL

Open Mobile Alliance Misión. Su misión es proporcionar servicios interoperables que permitan trabajar a

través de países, operadoras y dispositivos móviles.

Independencia de la red. Las especificaciones OMA son agnósticas en cuanto al tipo detecnología de red a utilizar en la conexión y el transporte de datos. La especificación deOMA para una funcionalidad concreta, es la misma para redes GSM, UMTS o CDMA2000.

Voluntaria. OMA no es una organización de estándares promovida y patrocinada por elgobierno como podría ser ITU. No obstante, sí pretende ser un foro para que lasprincipales compañías de la industria se pongan de acuerdo y sigan unas especificacionescomunes para sus productos y servicios. Estrictamente hablando, el cumplimiento de losestándares es completamente voluntario puesto que OMA no tiene un podermandatario.

Licencia de propiedad intelectual "FRAND". Los miembros que posean derechos depropiedad intelectual (p.ej. patentes) en tecnologías esenciales para la realización de unaespecificación deben estar de acuerdo en proporcionar licencias para su tecnología deuna forma "justa, razonable y no discriminatoria" (FRAND - "fair, reasonable and non-discriminatory", del inglés) a los demás miembros de la OMA.

60

Aprovisionamiento de dispositivosEstándar OMA

Curso verano USAL

Se Definen:

Proveedores de configuración (CSP)

Métodos de transporte

DM

Client

RAPI

Formato de fichero de aprovisionamiento

61

Aprovisionamiento de dispositivosEstándar OMA

Curso verano USAL62

Aprovisionamiento de dispositivosEstándar OMA: CSP

CSP Descripción CSP Descripción

ACCESSEspecifica las redes de destino a las que pueden conectarse múltiples

objetos. DMS

Permite que un servidor OMD DM v1.2 maneje objetos OMA DM account. El servidor puede

utilizar este proveedor de servicios de configuración para agregar una nueva cuenta o para

administrar una cuenta existente, incluyendo una cuenta aprovisionada mediante el CSP w7

APPLICATION.

APPLICATION w2 Añade un nuevo favorito. DownloadHabilita a un servidor OMA DM para descargar aplicaciones en ficheros .cab e instalar las

aplicaciones.

APPLICATION w4 Configura el servicio Multimedia (MMS). EMAIL2 Configura los servicios de e-mail del protocolo de internet.

APPLICATION w7 Establece una cuenta OMA DM En el dispositivo. FileOperation Administra los archivos y directorios del dispositivo.

APPLICATION 110 Configura el servicio POP3. FileSystemConsulta el sistema de archivos del dispositivo para obtener información sobre los ficheros del

dispositivo.

APPLICATION 143 Configura el servicio IMAP. FwUpdateUtilizado para actualizaciones de firmware. Gestiona la URL de actualización de paquetes y

notifica al usuario las nuevas actualizaciones utilizando el Download Agent UI.

APPLICATION 25 Configura el servicio SMTP. Home Configura la pantalla Home del dispositivo.

Bluetooth Configura el modo de operación Bluetooth. Inventory

Permite que el servidor OMA DM consulte el hardware del dispositivo, información del

sistema, información sobre el sistema de ficheros, así como las aplicaciones que hay instaladas

en el dispositivo.

BOOTSTRAP Establece el TPS para el dispositivo. LoaderRevocationUtilizado para agregar, modificar, eliminar y consultar certificados o hashes binarios en la lista

de revocación.

BrowserFavorite Agrega o elimina URLs de la lista de favoritos del dispositivo. Locale Configura los ajustes regionales del dispositivo.

Camera Habilita o deshabilita la cámara en un dispositivo. Metabase Utilizado para agregar, modificar y eliminar entradas de la metabase.

CertificateEnrollerConfigura los tipos de certificados y activa el enrollment del dispositivo.

Consulta y renueva los certificados del lado del dispositivo.NAP Configura los datos y conexiones celulares del dispositivo.

CertificateStoreAgrega certificados de seguridad y máscaras de rol en el almacén de

certificados del dispositivo.NAPDEF

Agrega, modifica y elimina definiciones de puntos de acceso a redes WAP (NAPDEFs), así

como sus correspondientes ajustes.

Clock Establece el tiempo y la fecha del dispositivo NetworkPolicy Configura las políticas de red para Bluetooth, IrDA y Wi-Fi.

CM GPRSEntriesConfigura las entradas GPRS (General Packet Radio Services) del

dispositivo.Obex Configura el servidor Obex, el cual gestiona las comunicaciones Bluetooth e infrarroja.

Curso verano USAL63

Aprovisionamiento de dispositivosEstándar OMA:CSP

CSP Descripción CSP Descripción

CM Mappings Configura la tabla de mapeo de URL. PROXYConfigura las entradas de red mediante proxy. Cada nodo proxy numerado configura una

conexión proxy.

CM NetEntries Configura entradas de red adicionales en el dispositivo. PXLOGICAL Agrega, elimina y modifica WAP lógico y proxys físicos.

CM Networks Configura las conexiones de red en el dispositivo. Registry Configura el registro del dispositivo.

CM Planner Configura las conexiones preferidas por Connection Manager. RemoteWipe Utilizado por el servidor para iniciar remotamente el borrado del dispositivo.

CM PPPEntries Configura las entradas del protocolo punto a punto (PPP) del dispositivo. ROMPackageUtilizado por el servidor para consultar al dispositivo los paquetes ROM de la versión empleada

por la actualización de firmware.

CM ProxyEntries Configura las conexiones proxy. SoftwareDisableHabilita un listado de bloques seguros de archivos binarios en la ROM de un dispositivo, así

como una lista de acceso seguro de ficheros binarios no firmados en RAM.

CM VPNEntries Configura las entradas de redes privadas virtuales (VPN). SecurityPolicy Configura los ajustes de las políticas de seguridad del dispositivo.

CM WiFiEntries

Configura las entradas de redes WiFi. Nota: Este CSP está en desuso, se

incluye por razones de compatibilidad hacia atrás, para dispositivos

Windows Mobile se recomienda utilizar el CSP Wi-Fi.

Sounds Configura los sonidos asociados con varios eventos del dispositivo.

CMPLANNER

Configura las conexiones preferidas por Connection Manager. Nota: Este

CSP es una extensión exclusiva de OMA DM. Para aprovisionar

dispositivos con OMA Client ha de emplearse CM Planner.

SpeedDialPermite rellenar las entradas de velocidad de marcado antes de la entrega del dispositivo al

usuario.

DevDetailManeja el objeto DevDetail de OMA MD, el cual contiene parámetros

específicos del dispositivo.Sync Configura los ajustes de sincronización del dispositivo.

DeviceEncryption Protege datos confidenciales utilizando cifrado. TapiConfigura los ajustes de telefonía del sistema global de comunicaciones móviles (GSM – Global

System Mobile Communications).

DeviceInformationPermite que el servidor consulte información general al dispositivo, como la

versión del SO o el uso de memoria.UnInstall

Elimina aplicaciones del dispositivo. Nota: Con OMA DM sólo es posible consultar las

aplicaciones instaladas en el dispositivo, no es posible desinstalarlas.

DevInfoManeja el objeto DevInfo de OMA DM. Este objeto contiene información

del dispositivo y se envía al servidor al inicio de cada sesión OMA DM.VoIP Configura o consulta los ajustes de voz sobre IP.

DMAcc

Maneja el objeto DMAcc de OMA DM, el cual almacena los ajustes

específicos del servidor OMA DM. Estos ajustes se conocen en conjunto

como OMA DM account. El nodo DMAcc es común a todos los nodos

OMA DM account.

VNP Permite al servidor configurar remotamente las entradas VPN del dispositivo.

Wi-Fi Configura o consulta los ajustes de Wi-Fi.

Curso verano USAL64


Rol Descripción

None SECROLE_NONE Sin rol asignado

Manager SECROLE_MANAGERLa configuración puede ser cambiada por el o administrador. Este rol permite acceso a todos los recursos del sistema

EnterpriseSECROLE_ENTERPRISE

Rol para administrador de Exchange. Permite gestionar configuraciones como borrado del dispositivo, gestión de contraseñas y certificados

Authenticated UserSECROLE_USER_AUTH

Rol del propietario del dispositivo. Los permisos están determinados por la configuración del recurso al que se solicita acceso. Este rol también se asigna a:•Mensajes WAP push firmados con PIN.•Mensajes recibidos por RAPI.

UnauthenticatedUser

SECROLE_USER_UNAUTHRol anónimo.Asignado a mensaje WAP sin firmar. Permite instalar fondos de pantalla o tonos de llamada

Operator SECROLE_OPERATOR

Roles asignados a servidores Trusted Provisioning Server (TPS) de Wireless ApplicationProtocol (WAP).

TrustedProvisioning Server

SECROLE_OPERATOR_TPS

Known Push Proxy Gateway

SECROLE_KNOWN_PPG

Device TrustedPush Proxy Gateway

SECROLE_PPG_TRUSTED

Push InitiatorAuthenticated

SECROLE_PPG_AUTH

Trusted Push Proxy Gateway

SECROLE_TRUSTED_PPG

Any Push Message SECROLE_ANY_PUSH_SOURCE

Roles de acceso a CSP

Curso verano USAL65

Aprovisionamiento de dispositivosEjemplo de fichero

<?xml version="1.0"?>

<wap-provisioningdoc>

<characteristic type="SecurityPolicy“>

<parm name="4131" value="0"/>

</characteristic>

<characteristic type="Registry“>

<characteristic type="HKLM\Comm\Security\Policy\LASSD">

<parm name="DeviceWipeThreshold" value="3” datatype="integer"/>

</characteristic>

</characteristic>

</wap-provisioningdoc>

Curso verano USAL

Piloto configuración dispositivos

Funcionalidades:

o Posibilidad configurar hasta 53 servicios en un dispositivo

o Varias plataformas de destino

o Generación de archivos XML en formato OMA Client

o Generación de archivos .cab

o Envío de archivos .cab a dispositivo

o Configuración de dispositivos desde el interfaz

o Impresión de archivos XML

66

Curso verano USAL

Piloto configuración dispositivos67

Curso verano USAL

Parque Tecnológico de Boecillo. Anexo Edificio Solar · 47151 Boecillo (Valladolid)Tlf: 983 549 630 · Fax: 983 549 752 · www.micmovilidad.es

http://www.micmovilidad.es/

http://www.micmovilidad.es/

mailto:[email protected]

Technology

Seguridad en dispositivos móviles