Upload
chema-alonso
View
9.463
Download
2
Embed Size (px)
DESCRIPTION
Charla impartida por Carlos Alberto Escolá, del Centro de Innovación en Movilidad de Microsot, en el Curso de Seguidad Informatica de la Universidad de Salamana 2009.
Citation preview
Curso verano USAL
Curso verano USAL
Agenda
Riesgos cómunes en dispositivos móviles Malware
Navegación insegura
Configuración incorrecta
Aplicaciones no confiables
Comunicaciones inseguras
Acceso no autorizado a datos
Funcionalidades de seguridad en WM Modelo de seguridad
Una capa
Dos capas
Bloqueo del dispositivo
Cifrado del dispositivo
Borrado del dispositivo
Comunicaciones seguras
Certificados
Politicas de seguridad
Taxonomia de soluciones comerciales de seguridad
Herramientas de administración de seguridad
Seguridad en programación Firma de código
Seguridad en entornos móviles de Microsoft System Management Server 2003
Exchange 2007
SCMDM 2008
Aprovisionamiento de dispositivos Estándar OMA
Piloto de seguridad del CIM
Curso verano USAL
Riesgos comunes en dispositivos móviles
• Malware
o Virus
o Troyanos
o Software espía
o Rootkits
o Gusanos
o Parásitos
• Navegación insegura
• Configuración incorrecta
• Aplicaciones no confiables
• Comunicaciones inseguras
o Wi-Fi
o Bluetooth
o Celulares
o locales
• Acceso no autorizado a datos
o Perdida, robo
o Usuarios maliciosos
Curso verano USAL
Riesgos de seguridad
• Riesgo:
o Mayor facilidad de perdida o
sustracción del dispositivo
Solución preventiva
o Educación del usuario: el dispositivo
esta en el bolsillo o en la mano
Solución reactiva
o Borrado remoto de dispositivo
Curso verano USAL
Riesgos de seguridad
• Riesgo:o Intrusiones locales no autorizadaso Acceso no autorizado a datos (LOPD)
Solución preventivao Bloqueo del dispositivoo Cifrado de datoso Borrado local
Solución reactivao borrado remoto
Curso verano USAL
Riesgos de seguridad
• Riesgo:o Comunicaciones inseguras
WiFi abierta, Rogue AP…
Webs maliciosas
Bluetooth abierto
Cifrados frágiles o rotos (PPTP, WEP…)
Solución preventivao Uso de canales seguros y cifrados
fuertes (IPSec, WPA2…)o Educación del usuario: no usar canales
de comunicación no fiables
Curso verano USAL
Riesgos de seguridad
Riesgo:
o Navegación insegura
Solución preventiva
o Uso de aplicaciones antimalware, bloqueo de webs maliciosas…
o Restricción del uso de Internet mediante politicas de seguridad
o Educación del usuario: no navegar en sitios no fiables
Curso verano USAL
Riesgos de seguridad
• Riesgo:
o Configuración
incorrecta Solución preventiva
o Uso de herramientas
de gestión de
dispositivos
Curso verano USAL
Riesgos de seguridad
Riesgo:
o Malware
Solución preventiva
o Uso de aplicaciones
antimalware
o Educación del usuario
Curso verano USAL
Riesgos de seguridad
Riesgo:
o Perdida de datos
Solución preventiva
o Uso de herramientas de copia de
seguridad
Curso verano USAL
Riesgos de seguridad
Riesgo:
o Aplicaciones no confiables
Solución preventiva:
o Control del software autorizado para instalar en los dispositivos
Curso verano USAL
Funcionalidades de seguridad en dispositivos WM
• La ejecución de las aplicaciones esta basada en permisos. Los dispositivos Windows Mobile tienen tres niveles de acceso al sistema para la ejecución de un programa:
• Privilegiado
• Normal
• Bloqueado
Es el sistema operativo el que concede a una aplicación un nivel de ejecución
Niveles de ejecución de aplicaciones
Curso verano USAL
• Ejecución modo privilegiado:• Se puede invocar a cualquier API
• Se puede escribir en áreas protegidas del registro
• Acceso completo a los ficheros del sistema.
• Ejecución modo normal:• No se puede invocar a las APIs de confianza
• No se puede escribir en áreas protegidas del registro
• No se puede escribir ficheros del sistema
• No se puede instalar certificados en almacenes protegidos.
Funcionalidades de seguridad en dispositivos WM Niveles de ejecución de aplicaciones
Curso verano USAL
Seguridad de una capa:
o Firmado con un certificado de confianzao Las aplicaciones pueden ejecutarse sin ningún tipo de
comprobación y ejecutarse con permisos privilegiados enel dispositivo
o Pueden llamar a cualquier API
o Se ejecutan en el dispositivo con el rol de MANAGER
o No firmado o firmado con un certificado desconocidoo Las aplicaciones requieren comprobación de políticas de
seguridad para determinar si se podrán ejecutar. Si sepermite ejecutarlas, se ejecutarán con los mismospermisos que si son aplicaciones firmadas
Modelos de seguridad
Funcionalidades de seguridad en dispositivos WM
Curso verano USAL
Seguridad de dos capas:
o Firmado con un certificado de confianza: Las aplicaciones puedenejecutarse sin ningún tipo de comprobación
o Hay distinción entre aplicaciones Privilegiadas y Normales:
o Las aplicaciones firmadas con un certificado del almacén Privilegiado seejecutan con permisos privilegiados y tienen acceso completo aldispositivo
o El resto de aplicaciones se ejecutan con permisos normales. Pueden leeráreas del registro protegidas y ficheros del sistema. No pueden escribiren áreas del registro, ficheros del sistema o acceder a \Windows\System
o Las aplicaciones en modo privilegiado tienen el rol de MANAGER yen modo normal el de USER_AUTH
o No firmado o firmado con un certificado desconocido
o Requieren comprobación de políticas de seguridad para determinar sise podrán ejecutar. Si se permite ejecutarlas, se ejecutarán conpermisos normales
Modelos de seguridad
Funcionalidades de seguridad en dispositivos WM
Curso verano USAL
Flujo de control de ejecución
Ejecutar aplicación
¿Puede ejecutar aplicaciones no
firmadas?
¿Dónde está el certificado?
¿Hay que avisar al usuario de la ejecución?
Entrada de usuario
¿Una capa o dos capas?
Bloquear/denegar ejecución Ejecución normal Ejecución privilegiada
No firmada Firmada
No está en
el dispositivo
SiNo
No
Si
PermitirDenegar
Dos
capasUna
capa
Está en el
contenedor
normal
Está en el
contenedor
privilegiado
Funcionalidades de seguridad en dispositivos WM
Curso verano USAL
Soporte de plataforma para los modelos de seguridad
Plataforma una capa dos capas
Windows Mobile 5.0 Smartphone
Si Si (por defecto)
Windows Mobile 5.0 PPC Phone
Si (por defecto) No
Windows Mobile 5.0 PPC
Si (por defecto) No
Windows Mobile 6 Professional
Si (por defecto) No
Windows Mobile 6 Classic
Si (por defecto) No
Windows Mobile 6 Standard
Si Si (por defecto)
Funcionalidades de seguridad en dispositivos WM
Curso verano USAL
Los niveles de acceso mas comunes son: LockedOne-tier Mobile2Market LockedOne-tier prompt Security OffTwo-tier Mobile2Market LockedTwo-tier prompt
Modelos de seguridad mas comunes
Funcionalidades de seguridad en dispositivos WM
Curso verano USAL
Funcionalidades de seguridad de WM
Bloqueo local por inactividad
Desbloqueo por contraseña configurable en complejidad
Borrado local (usando Exchange 2003 SP2/ 2007, SCMDM 2008 u OMA)
Curso verano USAL
Funcionalidades de seguridad de WM
Cifrado de la tarjeta de almacenamiento secundario (WM 6.1)o AES-128
o La penalización de rendimiento es mínima (penaliza mas la operación de E/S que la operación de cifrado/descifrado)
o Sobrecarga del fichero: una página para la cabecera y una para cada 200K de fichero (aprox 16K para un fichero de 600K)
Curso verano USAL
Funcionalidades de seguridad de WM
Comunicaciones
seguras
o VPN
L2TP/IPSec
o WiFi
WPA-2 cifrado AES
802.1x
Curso verano USAL
Funcionalidades de seguridad de WM
En WM 6.x existen 6 almacenes de certificados Almacén con privilegios
Almacén estándar
Almacén SPC (Software Publishing Certificates)
Root
CA (Intermediate)
My (personal)
Instalación de certificados con un solo click
Curso verano USAL
Funcionalidades de seguridad de WM
Politicas de seguridad
o 40 politicas de seguridad en los dispositivos
http://msdn.microsoft.com/en-
us/library/bb416355.aspx
o Configurables mediante OMA o SCMDM 2008
Curso verano USAL
Herramientas de administración de seguridad
Muestra configuración de seguridad actual del dispositivo WM o del emulador
Permite configurar el emulador con directivas comunes de seguridad para probar aplicaciones
Security Configuration Manager
Curso verano USAL
Herramientas de administración de seguridad Device Security Manager
Device Security Manager Integración con Visual Studio 2008
Entender y administrar las caracterisiticas de seguridad del dispositivo
Exportar configuración de seguridad
Crear una configuración de seguridad personalizada
Administrar certificados en el dispositivo Ver certificados en el dispositivo
Añadir o eliminar certificados del dispositivo
Curso verano USAL
Herramientas de administración de seguridad
Locked:
• Solo las aplicaciones firmadas con un certificado digital que se encuentre en el contenedor privilegiado pueden ejecutarse
• Todas las llamadas a la RAPI son rechazadas
• Los certificados Mobile2Market son eliminados del dispositivo pero los certificados OEM, Mobile Operatoro Enterprise siguen presentes.
XML Templates
Curso verano USAL
Herramientas de administración de seguridad
One Tier Prompt:
• Esta política permite a las aplicaciones firmadas con un certificado reconocido por el dispositivo ejecutarse sin avisar al usuario.
• El dispositivo avisa al usuario antes de permitir la ejecución de aplicaciones no firmadas o firmadas incorrectamente.
• Una vez la aplicación está corriendo, tiene permisos totales sobre el dispositivo.
XML Templates
Curso verano USAL
Security Off:
• Tanto las aplicaciones firmadas como no firmadas se les permite ser ejecutadas sin ninguna comprobación de seguridad y sin avisar al usuario.
• Cualquier aplicación puede llamar a cualquier API y modificar cualquier parte del registro y del sistema de ficheros
• Esta política puede ser usada durante la fase de testingde un dispositivo.
Herramientas de administración de seguridad
XML Templates
Curso verano USAL
Mobile To Market Locked:
• Las aplicaciones que están firmadas pueden ejecutarse.
• Las aplicaciones que no están firmadas no pueden ejecutarse.
• Una vez que la aplicación esta corriendo los permisos son determinados por la ubicación del certificado digital.
• Mobile2Market es el programa de certificación y marketing de Microsoft. Los partners proporcionan una CA y servicios de forma digital para Windows Mobile. Una vez firmada la app, se puede incluir en el catálogo de M2M de aplicaciones de Microsoft.
Herramientas de administración de seguridad
XML Templates
Curso verano USAL
Two Tier Prompt:• Esta política permite la ejecución de aplicaciones firmadas.
• El dispositivo pregunta al usuario antes de ejecutar aplicaciones no firmadas.
• Una vez que se ejecuta aplicación firmada, los permisos de la aplicación son determinados por el certificado:• Aplicaciones firmadas con un certificado en el contenedor
Privilegiado tienen acceso sin restricciones al dispositivo
• Aplicaciones firmadas con un certificado en el contenedor no privilegiado se ejecutan con permisos normales
• Si un usuario permite la ejecución de aplicaciones no firmadas, se le aplican permisos normales
Herramientas de administración de seguridad
XML Templates
Curso verano USAL
Herramientas de administración de seguridad
El editor de registro remoto es una herramienta del SDK de Visual Studio .NET que permite acceder al registro de Windows Mobile tanto de emuladores como de dispositivos físicos
A través del registro de Windows Mobile se puede configurar la seguridad de los dispositivos, así como obtener su configuración actual
Las políticas de seguridad están alojadas en el registro de Windows Mobile del dispositivo: HKLM\Security
Editor de registro remoto
Curso verano USAL
Ensamblados de nombre seguro y ficheros SNK
Los ensamblados de nombre seguro están formados por:
la identidad del ensamblado (nombre, número de versión e info de referencia cultural)
Clave pública
Firma digital
Se genera a partir de un archivo del ensamblado (el archivo que contiene el manifiesto del ensamblado) mediante la clave privada correspondiente.
Curso verano USAL
Ensamblados de nombre seguro y ficheros SNK
Los ensamblados de nombre seguro cumplen los siguientes requisitos: Garantizan exclusividad del nombre Protegen la procedencia de la versión de un ensamblado Proporcionan comprobación de integridad Solo un ensamblado de nombre seguro puede hacer
referencia a otro ensamblado de nombre seguro Se realizan comprobaciones de seguridad a la hora de
cargar el ensamblado / en el momento de instalarlo en la GAC
Permite la instalación del ensamblado en la Caché de Ensamblados Global (GAC)
GAC en Windows Mobile
\Windows\cgacutil.exe
Curso verano USAL
Ensamblados de nombre seguro y ficheros SNK
Los ensamblados de nombre en los dispositivos Windows Mobile se ubican en la carpeta \Windows bajo el nombre GAC_<shortname>_v<maj>_<min>_<build>_<rev>_c<culture>_<ref>.dll
GAC en Windows Mobile
\Windows\cgacutil.exe
Al contrario que en .NET en .NETCF
los ensamblados de la GAC son
almacenados en IL y el CLR necesita
compilarlos cada vez que los carga.
El mayor beneficio que se tendría aquí
se aplica al ahorro de espacio al
registrar un ensamblado en la GAC
Curso verano USAL
Ensamblados de nombre seguro y ficheros SNK
Propiedades de proyecto Firma
En Visual Studio 2008
Curso verano USAL
¿Qué es Authenticode?
Authenticode es una tecnología desarrollada por Microsoft que permite a los equipos verificar el origen de los programas, documentos y otros tipos de ficheros
El uso mas común de Authenticode es el de certificar software que corre en Microsoft Windows
Una firma digital de Authenticode permite asegurarse de que el software es original, de que no es un troyano ni un programa potencialmente peligroso que puede enmascarar otro producto. También se utiliza para detectar si el programa ha sido modificado
Curso verano USAL
¿Qué es Authenticode?
Una firma digital de Authenticode no prueba en si misma que el software que lleva no es peligroso. Sin embargo, la persona u organización que firman el software tienen que probar que ellos fueron los que publicaron el certificado.
Por lo tanto los certificados son trazables.
Un certificado SPC (Software Publisher Certificate) es aquel que acredita a una entidad como distribuidora de software. Es un certificado que ha de obtenerse antes de comenzar la distribución de software y se consigue realizando una petición a una entidad emisora de certificados.
Curso verano USAL
¿Donde puedo conseguir estos cerficados?
Por defecto los dispositivos Windows Mobile salen con una variedad de certificados:
Certificados raíz de confianza de los “major certificatevendors”
Mobile2Market y otros certificados de confianza que se designan al firmado de aplicaciones
Certificados adicionales que pueden ser añadidos por el OEM
Curso verano USAL
¿Donde puedo conseguir estos cerficados?
A través de una Entidad emisora de Certificados de tu empresa (Servicio de Windows Certificate Server en Windows 2000/2003/2008)
A través del programa Mobile2Market
A través de cualquier entidad emisora raíz de confianza que pertenezca a la lista de CA’s de confianza de Microsoft y que emita certificados de Authenticode válidos para e-commerce
Curso verano USAL
Firma digital de software
Para firmar con Authenticode un ensamblado de Compact Framework
Propiedades de proyecto Dispositivos
En Visual Studio 2008
Curso verano USAL
Taxonomia de soluciones comerciales de seguridad
Firewall
Anti Malware
Backup
Comunicaciones seguras
Gestión de seguridad
Gestión centralizada
41
Curso verano USAL
Políticas de contraseñas
Uso de contraseñas fuerteso 8 caracteres mínimo
o Mayúsculas, minúsculas, números, caracteres
o Periodo de caducidad
o Historial de contraseñas
o Diccionario de contraseñas comunes
Compromiso entre seguridad y complejidad para el usuario
Curso verano USAL
Soluciones anti malware
Soluciones de terceros
para la prevención de
infecciones, limpieza de
dispositivos,
anti phissing…
Evaluación del riesgo vs
despliegue
Curso verano USAL
Soluciones de copia de seguridad
Copia de seguridad de
o Ficheros
o estado del sistema
o datos PIM
Contactos (SIM, personales)
Correos
Calendario
Curso verano USAL
Comunicaciones seguras
Confidencialidad, integridad, autenticación, no repudio
Establecer canales seguros en medios inseguros
o HTTPS
o VPN
WiFi cifrada al menos con WPA
Bluetooth no descubrible
Uso de PKI
Curso verano USAL
Seguridad en entornos móviles de Microsoft
System Management Server 2003
Exchange 2007 SP1
System Center Mobile Device Manager 2008
Aprovisionamiento de dispositivos
Estándar OMA
Piloto de seguridad del CIM
46
Curso verano USAL
Device Management Feature Pack Inventario hardware y software de dispositivos
Colección de ficheros
Distribución de software
Gestión de configuración
Gestion de política de contraseñas
Addin a SMC 2003
Gestiona dispositivos: Windows Mobile Pocket PC 2002
Windows Mobile Pocket PC 2003
Windows Mobile Pocket PC 5.0
Descarga: http://technet.microsoft.com/en-us/sms/bb676769.aspx
47
Seguridad en entornos móviles de Microsoft
Systems Management Server 2003
Curso verano USAL
OWA (Outlook Web Access) Acceso Web a Exchange
Acceso Premium (IE 6.0/7.0) o ligero (otros navegadores)
Autenticación: standard (básica, digest, Windows), basada en formularios, ISA Server, smart card, RSA Secur ID
Acceso a las carpetas públicas
Soporta navegación desde PDA
Autoservicio de usuario Borrado de dispositivos
móviles
Restablecimiento de PIN
Seguridad en entornos móviles de Microsoft
Exchange 2007
Curso verano USAL
EAS (Exchange Active Sync)
Acceso y sincronización desde dispositivos móviles (WM5 y WM6) de correo, calendario, tareas y contactos
Cifrado y compresion de los datos enviados y recibidos
Direct Push
Politicas de seguridad
Borrado local y remoto
Recuperación de contraseña
Seguridad en entornos móviles de Microsoft
Curso verano USAL50
Sincronización
Configurar formato de mensajes (HTML o texto plano)
Incluir correos antiguos
Tamaño del truncado del cuerpo (plano o HTML)
Incluir citas de calendario pasadas
Requerir sincronización manual si se esta en roaming
Permitir descargas de adjuntos
Tamaño máximo de adjuntos
Autenticación
Caracteres mínimos en contraseñas complejas
Habilitar recuperación de contraseña
Permitir contraseñas sencillas
Caducidad de la contraseña (días)
Histórico de contraseñas
Acceso a ficheros compartidos de Windows
Acceso a sharepoint
Longitud mínima de la contraseña
Timeout por inactividad
Requerir contraseña
Requerir contraseña compleja
Número de intentos fallidos
Intervalo de refresco de la política
Permitir dispositivos no provisionables
Cifrado
Requerir mensajes con firma SMIME
Requerir mensaje cifrados SMIME
Requerir algoritmo de firma SMIME
Requerir algoritmo de cifrado SMIME
Permitir negociación de algoritmo de cifrado SMIME
Permitir SMIME SoftCerts
Cifrado del dispositivo
Cifrado de la tarjeta de almacenamiento
CAL standard
Seguridad en entornos móviles de Microsoft
Gestión de dispositivos
Curso verano USAL51
Control de dispositivo
Deshabilitar ActiveSync
Deshabilitar almacenamiento extraíble
Deshabilitar cámara
Deshabilitar SMS y MMS
Control de conexiones
Deshabilitar Wi-Fi
Deshabilitar Bluetooth
Deshabilitar IrDA
Permitir conexión a Internet compartida
Permitir compartir escritorio desde el dispositivo
Control de aplicaciones
Deshabilitar correo POP3/IMAP4
Permitir correo de usuario
Permitir navegador
Permitir aplicaciones no firmadas
Permitir CABs no firmados
Lista blanca de aplicaciones
Lista negra de aplicaciones
CAL Enterprise
Seguridad en entornos móviles de Microsoft
Gestión de dispositivos
Curso verano USAL
Caracteristicas de SCMDM 2008
Gestión del dispositivo
Gestión centralizada
Aprovisionamiento y arranque totalmente OTA (Over The Air).
Distribución de software OTA
Inventariado del hardware y software de los dispositivos móviles
Capacidades de reportes
Gestión de seguridad Unión a dominio
Cifrado del sistema de ficheros del dispositivo y/o de la tarjeta de almacenamiento secundario
Listas blancas y negras de aplicaciones
Instalación de aplicaciones firmadas
Borrado remoto (wipe) completo del dispositivo
Bloqueo por inactividad
Complejidad de contraseñas
Control de comunicaciones
VPN móvil Autenticación de máquina y seguridad de doble sobre Persistencia de sesión
y reconexión rápida
Roaming Internet/red de trabajo
Basado en estándar (IKEv2, Túnel en modo IPSEC)
52
SCMDM 2008
VPN móvil
Gestión de
seguridad
Gestión del
dispositivo
Seguridad en entornos móviles de Microsoft
Curso verano USAL
Enroll en el dispositivo
53
Seguridad en entornos móviles de Microsoft
Curso verano USAL
Proceso de distribución de software
54
(1) Conexión con el servidor de gateway
(5) Notificación de instalación
Servidor de
gateway
Servidor de
gestión
Repositorio
de
software
(4) Envío de software
(2) Conexión con el servidor de gestión
(4) Envío de software
(5) Notificación de instalación
Seguridad en entornos móviles de Microsoft
Curso verano USAL
Políticas para dispositivos moviles
55
Computer settings
Seguridad en entornos móviles de Microsoft
Curso verano USAL
Políticas para usuarios moviles56
User Configuration
Seguridad en entornos móviles de Microsoft
Curso verano USAL
VPN Móvil: Caracteristicas
57
Mobile
Gateway
Internet
Túnel IPSec
Tráfico SSL
Seguridad de doble sobre Tunel IPSec
Tráfico SSL
Persistencia de sesión
Reconexión rápida
Roaming entre redes
Básada en estandares OMA DM
IPSec
IKE v2 y MobIKE
SCOMO (Borrador de OMA para gestión de software)
El GW Server hará de proxy hacia Internet o la zona corporativa
Seguridad en entornos móviles de Microsoft
Curso verano USAL
VPN en el dispositivo
58
TODO el tráfico del dispositivo se dirige al GW vía VPN no hay conexión directa a Internet
Puede desconectarse la VPN en el dispositivo
Seguridad en entornos móviles de Microsoft
Curso verano USAL
¿Qué es el aprovisionamiento de dispositivos móviles?
Gestión del dispositivo después de ser desplegado en una infraestructura de red
Configuración del dispositivo e instalación o actualización de aplicaciones
Gestión controlada mediante un servidor
Se utilizan ficheros XML (CPF) que contiene la información sobre la configuración y que se envían al dispositivo
Los CSP (como el gestor de configuración) en el dispositivo configuran el dispositivo de acuerdo al contenido del XML
Mediante el aprovisionamiento es posible:
Cambiar la configuración del core y el registro
Configurar, añadir, actualizar o desinstalar software
Actualizar el SO con nuevos componentes
Personalizar y añadir componentes de interfaz de usuario
Activar software disponible en ROM u OTA
59
Aprovisionamiento de dispositivos
Curso verano USAL
Open Mobile Alliance Misión. Su misión es proporcionar servicios interoperables que permitan trabajar a
través de países, operadoras y dispositivos móviles.
Independencia de la red. Las especificaciones OMA son agnósticas en cuanto al tipo detecnología de red a utilizar en la conexión y el transporte de datos. La especificación deOMA para una funcionalidad concreta, es la misma para redes GSM, UMTS o CDMA2000.
Voluntaria. OMA no es una organización de estándares promovida y patrocinada por elgobierno como podría ser ITU. No obstante, sí pretende ser un foro para que lasprincipales compañías de la industria se pongan de acuerdo y sigan unas especificacionescomunes para sus productos y servicios. Estrictamente hablando, el cumplimiento de losestándares es completamente voluntario puesto que OMA no tiene un podermandatario.
Licencia de propiedad intelectual "FRAND". Los miembros que posean derechos depropiedad intelectual (p.ej. patentes) en tecnologías esenciales para la realización de unaespecificación deben estar de acuerdo en proporcionar licencias para su tecnología deuna forma "justa, razonable y no discriminatoria" (FRAND - "fair, reasonable and non-discriminatory", del inglés) a los demás miembros de la OMA.
60
Aprovisionamiento de dispositivosEstándar OMA
Curso verano USAL
Se Definen:
Proveedores de configuración (CSP)
Métodos de transporte
DM
Client
RAPI
Formato de fichero de aprovisionamiento
61
Aprovisionamiento de dispositivosEstándar OMA
Curso verano USAL62
Aprovisionamiento de dispositivosEstándar OMA: CSP
CSP Descripción CSP Descripción
ACCESSEspecifica las redes de destino a las que pueden conectarse múltiples
objetos. DMS
Permite que un servidor OMD DM v1.2 maneje objetos OMA DM account. El servidor puede
utilizar este proveedor de servicios de configuración para agregar una nueva cuenta o para
administrar una cuenta existente, incluyendo una cuenta aprovisionada mediante el CSP w7
APPLICATION.
APPLICATION w2 Añade un nuevo favorito. DownloadHabilita a un servidor OMA DM para descargar aplicaciones en ficheros .cab e instalar las
aplicaciones.
APPLICATION w4 Configura el servicio Multimedia (MMS). EMAIL2 Configura los servicios de e-mail del protocolo de internet.
APPLICATION w7 Establece una cuenta OMA DM En el dispositivo. FileOperation Administra los archivos y directorios del dispositivo.
APPLICATION 110 Configura el servicio POP3. FileSystemConsulta el sistema de archivos del dispositivo para obtener información sobre los ficheros del
dispositivo.
APPLICATION 143 Configura el servicio IMAP. FwUpdateUtilizado para actualizaciones de firmware. Gestiona la URL de actualización de paquetes y
notifica al usuario las nuevas actualizaciones utilizando el Download Agent UI.
APPLICATION 25 Configura el servicio SMTP. Home Configura la pantalla Home del dispositivo.
Bluetooth Configura el modo de operación Bluetooth. Inventory
Permite que el servidor OMA DM consulte el hardware del dispositivo, información del
sistema, información sobre el sistema de ficheros, así como las aplicaciones que hay instaladas
en el dispositivo.
BOOTSTRAP Establece el TPS para el dispositivo. LoaderRevocationUtilizado para agregar, modificar, eliminar y consultar certificados o hashes binarios en la lista
de revocación.
BrowserFavorite Agrega o elimina URLs de la lista de favoritos del dispositivo. Locale Configura los ajustes regionales del dispositivo.
Camera Habilita o deshabilita la cámara en un dispositivo. Metabase Utilizado para agregar, modificar y eliminar entradas de la metabase.
CertificateEnrollerConfigura los tipos de certificados y activa el enrollment del dispositivo.
Consulta y renueva los certificados del lado del dispositivo.NAP Configura los datos y conexiones celulares del dispositivo.
CertificateStoreAgrega certificados de seguridad y máscaras de rol en el almacén de
certificados del dispositivo.NAPDEF
Agrega, modifica y elimina definiciones de puntos de acceso a redes WAP (NAPDEFs), así
como sus correspondientes ajustes.
Clock Establece el tiempo y la fecha del dispositivo NetworkPolicy Configura las políticas de red para Bluetooth, IrDA y Wi-Fi.
CM GPRSEntriesConfigura las entradas GPRS (General Packet Radio Services) del
dispositivo.Obex Configura el servidor Obex, el cual gestiona las comunicaciones Bluetooth e infrarroja.
Curso verano USAL63
Aprovisionamiento de dispositivosEstándar OMA:CSP
CSP Descripción CSP Descripción
CM Mappings Configura la tabla de mapeo de URL. PROXYConfigura las entradas de red mediante proxy. Cada nodo proxy numerado configura una
conexión proxy.
CM NetEntries Configura entradas de red adicionales en el dispositivo. PXLOGICAL Agrega, elimina y modifica WAP lógico y proxys físicos.
CM Networks Configura las conexiones de red en el dispositivo. Registry Configura el registro del dispositivo.
CM Planner Configura las conexiones preferidas por Connection Manager. RemoteWipe Utilizado por el servidor para iniciar remotamente el borrado del dispositivo.
CM PPPEntries Configura las entradas del protocolo punto a punto (PPP) del dispositivo. ROMPackageUtilizado por el servidor para consultar al dispositivo los paquetes ROM de la versión empleada
por la actualización de firmware.
CM ProxyEntries Configura las conexiones proxy. SoftwareDisableHabilita un listado de bloques seguros de archivos binarios en la ROM de un dispositivo, así
como una lista de acceso seguro de ficheros binarios no firmados en RAM.
CM VPNEntries Configura las entradas de redes privadas virtuales (VPN). SecurityPolicy Configura los ajustes de las políticas de seguridad del dispositivo.
CM WiFiEntries
Configura las entradas de redes WiFi. Nota: Este CSP está en desuso, se
incluye por razones de compatibilidad hacia atrás, para dispositivos
Windows Mobile se recomienda utilizar el CSP Wi-Fi.
Sounds Configura los sonidos asociados con varios eventos del dispositivo.
CMPLANNER
Configura las conexiones preferidas por Connection Manager. Nota: Este
CSP es una extensión exclusiva de OMA DM. Para aprovisionar
dispositivos con OMA Client ha de emplearse CM Planner.
SpeedDialPermite rellenar las entradas de velocidad de marcado antes de la entrega del dispositivo al
usuario.
DevDetailManeja el objeto DevDetail de OMA MD, el cual contiene parámetros
específicos del dispositivo.Sync Configura los ajustes de sincronización del dispositivo.
DeviceEncryption Protege datos confidenciales utilizando cifrado. TapiConfigura los ajustes de telefonía del sistema global de comunicaciones móviles (GSM – Global
System Mobile Communications).
DeviceInformationPermite que el servidor consulte información general al dispositivo, como la
versión del SO o el uso de memoria.UnInstall
Elimina aplicaciones del dispositivo. Nota: Con OMA DM sólo es posible consultar las
aplicaciones instaladas en el dispositivo, no es posible desinstalarlas.
DevInfoManeja el objeto DevInfo de OMA DM. Este objeto contiene información
del dispositivo y se envía al servidor al inicio de cada sesión OMA DM.VoIP Configura o consulta los ajustes de voz sobre IP.
DMAcc
Maneja el objeto DMAcc de OMA DM, el cual almacena los ajustes
específicos del servidor OMA DM. Estos ajustes se conocen en conjunto
como OMA DM account. El nodo DMAcc es común a todos los nodos
OMA DM account.
VNP Permite al servidor configurar remotamente las entradas VPN del dispositivo.
Wi-Fi Configura o consulta los ajustes de Wi-Fi.
Curso verano USAL64
Aprovisionamiento de dispositivos
Rol Descripción
None SECROLE_NONE Sin rol asignado
Manager SECROLE_MANAGERLa configuración puede ser cambiada por el o administrador. Este rol permite acceso a todos los recursos del sistema
EnterpriseSECROLE_ENTERPRISE
Rol para administrador de Exchange. Permite gestionar configuraciones como borrado del dispositivo, gestión de contraseñas y certificados
Authenticated UserSECROLE_USER_AUTH
Rol del propietario del dispositivo. Los permisos están determinados por la configuración del recurso al que se solicita acceso. Este rol también se asigna a:•Mensajes WAP push firmados con PIN.•Mensajes recibidos por RAPI.
UnauthenticatedUser
SECROLE_USER_UNAUTHRol anónimo.Asignado a mensaje WAP sin firmar. Permite instalar fondos de pantalla o tonos de llamada
Operator SECROLE_OPERATOR
Roles asignados a servidores Trusted Provisioning Server (TPS) de Wireless ApplicationProtocol (WAP).
TrustedProvisioning Server
SECROLE_OPERATOR_TPS
Known Push Proxy Gateway
SECROLE_KNOWN_PPG
Device TrustedPush Proxy Gateway
SECROLE_PPG_TRUSTED
Push InitiatorAuthenticated
SECROLE_PPG_AUTH
Trusted Push Proxy Gateway
SECROLE_TRUSTED_PPG
Any Push Message SECROLE_ANY_PUSH_SOURCE
Roles de acceso a CSP
Curso verano USAL65
Aprovisionamiento de dispositivosEjemplo de fichero
<?xml version="1.0"?>
<wap-provisioningdoc>
<characteristic type="SecurityPolicy“>
<parm name="4131" value="0"/>
</characteristic>
<characteristic type="Registry“>
<characteristic type="HKLM\Comm\Security\Policy\LASSD">
<parm name="DeviceWipeThreshold" value="3” datatype="integer"/>
</characteristic>
</characteristic>
</wap-provisioningdoc>
Curso verano USAL
Piloto configuración dispositivos
Funcionalidades:
o Posibilidad configurar hasta 53 servicios en un dispositivo
o Varias plataformas de destino
o Generación de archivos XML en formato OMA Client
o Generación de archivos .cab
o Envío de archivos .cab a dispositivo
o Configuración de dispositivos desde el interfaz
o Impresión de archivos XML
66
Curso verano USAL
Piloto configuración dispositivos67
Curso verano USAL
Parque Tecnológico de Boecillo. Anexo Edificio Solar · 47151 Boecillo (Valladolid)Tlf: 983 549 630 · Fax: 983 549 752 · www.micmovilidad.es