Global network of innovation © Copyright Siemens Business Services Lieven Kenis4 december 2003 Security for mobile applications ir. Lieven Kenis.

Slides:



Advertisements
Verwante presentaties
Trends in gezondheidsklachten en gezondheidsgedrag van jongeren Resultaten van de studie Jongeren en gezondheid Lea Maes en Anne Hublet Vakgroep Maatschappelijke.
Advertisements

KWALITEITSZORG november 2012
Stilstaan bij parkeren Dat houdt ons in beweging
‘SMS’ Studeren met Succes deel 1
Wat was toen het grootste het grootste probleem van de van de FOD?
NEDERLANDS WOORD BEELD IN & IN Klik met de muis
1 Resultaten marktonderzoek RPM Zeist, 16 januari 2002 Door: Olga van Veenendaal, medew. Rothkrans Projectmanagement.
Agenda Blok 1 - Evolutie van Cloud Computing
November 2013 Opinieonderzoek Vlaanderen – oktober 2013 Opiniepeiling Vlaanderen uitgevoerd op het iVOXpanel.
Uitgaven aan zorg per financieringsbron / /Hoofdstuk 2 Zorg in perspectief /pagina 1.
Atos, Atos and fish symbol, Atos Origin and fish symbol, Atos Consulting, and the fish itself are registered trademarks of Atos Origin SA. August 2006.
1 COVER: Selecteer het grijze vlak hiernaast met rechtsklik & kies ‘change picture’ voor een ander beeld of verwijder deze slide & kies in de menubalk.
Internet College 2 Architecturen. Architectuur van netwerktoepassingen •Peer to peer –Windows werkgroep •File- en printer sharing •Internet connection.
Global e-Society Complex België - Regio Vlaanderen e-Regio Provincie Limburg Stad Hasselt Percelen.
Maandag 18 april GSM : Global System for Mobile Communication Group Spécial Mobile (1982)
 Deel 1: Introductie / presentatie  DVD  Presentatie enquête  Ervaringen gemeente  Pauze  Deel 2 Discussie in kleinere groepen  Discussies in lokalen.
Confidential & Proprietary Copyright © 2007 The Nielsen Company INNOVATIE Tracking Februari 2007.
AUTHENTICATION SOLUTIONS
1/1/ / faculty of Computer Science eindhoven university of technology 5B040:Computerarchitectuur 2M200:Inleiding Computersystemen Sessie 8(1): Het Operating.
Mindere specs, hogere prijs! (715 = 1.6???). IBM THINKPAD R51 Mobile Intel Pentium M GHz 40GB vaste schijf, 256MB DDR, maximaal 2GB 10/100Mbps.
Ronde (Sport & Spel) Quiz Night !
Copyright © 2008 Tele Atlas. All rights reserved. Zet uw Business Data op de kaart: Locaties in eTOM ®
De PROFIBUS, PROFINET & IO-Link dag 2011 Share our Vision for Automation.
Business Productivity Online Suite
ICT Infrastructuur.
Een optimale benutting van vierkante meters Breda, 6 juni 2007.
Internet altijd en overal: de GigaPort GPRS-pilot Klaas Wierenga Innovatie Manager 10 oktober 2000.
Voorziening levensonderhoud Religieuze Instituten Paul Op Heij ‘s-Hertogenbosch, 25 september 2013 The future depends on what you do today.
Kb.1 Ik leer op een goede manier optellen en aftrekken
Tevredenheids- enquête 2012 P. Grouwels Inleiding Mogelijke antwoorden: Zeer goed: 4 sterren ****: volledig tevreden; Goed: 3 sterren ***:
AMobe - 5de Gebruikerscommisie KaHo Sint-Lieven – Gent 19 februari 2004.
Introduction multimedia. convergence standards retrieval applications & technology.
Corporate Communications February 2011 Succesvol met Outsourcing Gerben Edelijn, CEO Thales Nederland.
Nooit meer onnodig groen? Luuk Misdom, IT&T
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 1 Kwaliteit en Patiëntveiligheid in de Belgische ziekenhuizen anno 2008 Rapportage over.
Elke 7 seconden een nieuw getal
Network Address Translation
1 introductie 3'46” …………… normaal hart hond 1'41” ……..
Oefeningen F-toetsen ANOVA.
Integratie Software Systemen Alonso, Casati, Kunu & Machiraju Web Services - Concepts, Architectures and Applications Hoofdstuk 5 – Webservices Danny Romme.
Wat levert de tweede pensioenpijler op voor het personeelslid? 1 Enkele simulaties op basis van de weddeschaal B1-B3.
© 2002 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied,
CEBP Danny Burlage.
In dit vakje zie je hoeveel je moet betalen. Uit de volgende drie vakjes kan je dan kiezen. Er is er telkens maar eentje juist. Ken je het juiste antwoord,
Trends in gezondheidsklachten en gezondheidsgedrag van jongeren Resultaten van de studie Jongeren en gezondheid Lea Maes en Anne Hublet Vakgroep Maatschappelijke.
 Siemens Nederland N.V Get a bit more. Siemens. 1 datum naam presentatie SMS & WAP Eerste stappen naar mobiel data verkeer.
Bedrijfsspecifieke extensies Standaard Rekeningschema
2009 Tevredenheidsenquête Resultaten Opleidingsinstellingen.
Ben Bruidegom 1 Sequentiële schakelingen Toestand uitgang bepaald door:  ingangen;  vorige toestand uitgang.
1 Van Harvard naar MIPS. 2 3 Van Harvard naar MIPS Microprocessor without Interlocked Pipeline Stages Verschillen met de Harvard machine: - 32 Registers.
CPP bij kinderen Chapter 8. Cerebral perfusion pressure. Ped Crit Care Med 2003; 4 (suppl): S Downard et al. Relationship of cerebral perfusion pressure.
ribwis1 Toegepaste wiskunde – Differentieren Lesweek 7
Automation SolutionsMFG/Pro Dutch usergroup 8 februari 2007 ISA S88 & S95 Het gebruik van deze normen in de productie.
Visual Basic.Net - Overzicht
Geheugen, distributie en netwerken Netwerken: de basis voor distributie van gegevens en taken (processen) –bestaan zo’n 40 jaar, zeer snelle ontwikkeling.
EFS Seminar Discriminatie van pensioen- en beleggingsfondsen
EduRoam en 802.1X workshop & SURFnet Relatiedagen 8 December 2004 Nieuwegein.
802.1X in SURFnet Intern seminar over 802.1X 24 Mei 2004 Utrecht.
SURFworksSURFworks Voorbeeldomgevingen –DOEL –Showcase –VAT –(3D)Presence Technologieproeven –Samenwerking (presence, VR, conferencing) –Informatieontsluiting.
De PROFIBUS, PROFINET & IO-Link dag 2011 Share our Vision for Automation.
De PROFIBUS, PROFINET & IO-Link dag 2011
Eerst even wat uitleg. Klik op het juiste antwoord als je het weet.
© Copyright VIMC 2009 Telecom Expense Management A Discussion Ed Vonk
STIMULANS KWALITEITSZORG juni 2014.
Ontbijtsessie 2 juli 2014 Kwaliteitsverbeteringen in Infra Projecten.
Ondernemer in de btw René N.G. van der Paardt. Met Fuchs is de grens van het ondernemerschap wel bereikt? De vaste inrichting in de btw zou hetzelfde.
DIGITAL ANALYTICS TOOLS. 2 DIGITALE MEDIA - METEN.
Openbaar je talent Service public, talent particulier.
Transcript van de presentatie:

Global network of innovation © Copyright Siemens Business Services Lieven Kenis4 december 2003 Security for mobile applications ir. Lieven Kenis

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 2 Mobile Applications Agenda  Inleiding  Mobiele netwerken  Mobiele platformen  Security  Beveiliging voor mobiele applicaties

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 3 Mobile Applications The top ten companies in electrical engineering and electronics in 2001 Total sales (in billions of euros) GE (U.S. ) IBM (U.S. ) Matsushita Electric (Japan) Fujitsu (Japan ) Hewlett- Packard (U.S.) Toshiba (Japan) Sony (Japan ) Hitachi (Japan ) * Siemens (Germany ) *including Infineon 51.2 NEC (Japa n) ) 1)2)3) Sales in electrical capital goods (in billions of euros)

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 4 Mobile Applications Siemens Business Services: A Siemens company within the I and C segment TS I and C Automation and Control Power Financing and Real Estate Transpor- tation Legally independent units Siemens groups A&D I&S SD SBT SFSPG PTDOsram TS IC Mobile IC Networks SBS AT Medical Lighting SRESV Med

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 5 Mobile Applications Siemens Business Services market positions FY 2000 pro forma sales, EUR bill. * estimatedSources: Company reporting, PAC HP / Compaq merger: Pro-forma market positioning 2000 Worldwide 1. IBM Global Services EDS Fujitsu IT Services HP/Compaq CSC SBS Europe 1. IBM Global Services 9.5* 2. EDS/Systematics 5.7* 3. HP/Compaq 5.5 * 3. T-Systems 5.5* 5. SBS CapGem E&Y 5.3 Germany 1. T-Systems 4.5* 2. SBS IBM Global Services 2.5* 4. EDS/Systematics HP/Compaq 1.0* Belgium 1. IBM Global Services 3.8* 2. Cap Gem E&Y 2.2* 3. SBS 2.1 * 4. Atos 1.0* 5. HP/ Compaq 1.0

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 6 Mobile Applications Norway Canada USA Sweden Finland South Africa SingaporeIndia China Spain Italy Portugal France Switzerland Hungary Czech Rep. Denmark German y CISRussia Australia Morocco Belgium Austria Ireland Great Britain Netherlands Polan d Turkey Business Unit Legal Entity Argentina Brazil Siemens Business Services - Worldwide presence

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 7 Mobile Applications Wat over mezelf...  Naam: Lieven Kenis  Opleiding: Burgerlijk ingenieur computerwetenschappen  Functies binnen Siemens Business Services  Mobile business Consultant  CRM Consultant (Frankrijk)  Systems Architect voor de Vlaamse Gemeenschap en diverse kleinere projecten  Security Officer voor de Vlaamse Gemeenschap  Internationale opdrachten

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 8 Mobile Applications A new way of life...

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 9 Mobile Applications Agenda  Inleiding  Mobiele netwerken  WLAN (WiFi)  Bluetooth  GPRS  UMTS  Andere: WAP/EDGE/GSM DATA/...  Mobiele platformen  Security  Beveiliging voor mobiele applicaties

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 10 Mobile Applications WLAN  IEEE standaarden, ‘WiFi’  Ethernet / momenteel 11Mbit/s  Voordelen:  Makkelijk te installeren zeker in oude gebouwen  Flexibel  Nadelen  ‘securityrisico’  via encryptie te regelen, no issue  Ethernet  capaciteit gedeeld over gebruikers  Hotspots  “Sinfilo”  Intel Centrino

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 11 Mobile Applications Mobile Networks

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 12 Mobile Applications Mobile Technologies – circuit / packet switched service Circuit Switched Service Packet Switched Service once the connection has been set up, data can be transmitted the connection is kept open permanently after set-up the data is transported a step further by each transport packet after the transportation of the individual packets, the connection is free to take others

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 13 Mobile Applications GPRS  Time Division Multiplexing  Voice : 8 timeslots  GPRS gebruikt enkele ongebruikte timeslots voor data VDDDD678V Nadelen? Voice heeft voorrang, beschikbare datacapaciteit afhankelijk van de voicebezetting

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 14 Mobile Applications ClassDownlinkUplinkActive Elk slot heeft een theoretische snelheid van 14,4kbps In praktijk minder door: coderingsbits/foutcorrectie/retransmissie

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 15 Mobile Applications UMTS – The cell concept

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 16 Mobile Applications UMTS – bandwith*distance = cte

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 17 Mobile Applications Conclusie  Mobiele netwerken bieden niets anders dan een IP connectiviteit  Dus: behandel mobiele netwerken NET ALS internet/intranet  WLAN: mobiele versie van het ethernet  11Mbit/s  GPRS: mobiele versie van de analoge lijn  56kbps  Toekomst(muziek?): UMTS...

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 18 Mobile Applications Agenda  Inleiding  Mobiele netwerken  Mobiele platformen  Toestellen  Applicatieplatformen  Security  Beveiliging voor mobiele applicaties

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 19 Mobile Applications Mobile Devices – WAP Phone limited display limited keyboard limited CPU and memory integrated GSM/GPRS module WAP browser moderate cost voice

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 20 Mobile Applications winCE device Mobile Devices - PDA Voice integrated GSM/GPRS module enabling phone functionality and assistant color TFT touch-screen display 320x240 Pocket Office (Word, Excel, …) limited keyboard cheaper and more flexible than a notebook

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 21 Mobile Applications Mobile Devices – Tablet PC winXP limited keyboard no voice operational time (full operation modus) Full functionality Handwriting recognition high-end touch-screen display 1024x768

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 22 Mobile Applications Mobile Devices - notebook windows device unlimited modular communication solution via PC cards (WLAN, GSM-DATA, GPRS, …) high-end display 1024x768 MS-Office (Word, Excel, …) expensive, heavy and complex operational time up to 3 hours (full operation modus) full keyboard startup-time

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 23 Mobile Applications Agenda  Inleiding  Mobiele netwerken  Mobiele platformen  Toestellen  Applicatieplatformen  Security  Beveiliging voor mobiele applicaties

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 24 Mobile Applications Verschillende Operating Systemen...  Windows CE  MS Windows gebaseerd  PalmOS  Voornamelijk in Palm toestellen (en hun klonen)  Symbian  Voornamelijk in smartphones

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 25 Mobile Applications leiden tot verschillende applicatieplatformen...  Windows CE .NET  JVM mogelijk (maar niet ‘standaard’)  MS strategie  PalmOS  Java (Personal Java, recent J2ME)  Symbian  Personal Java, recent J2ME of eigen variant ‘Java op het moment het meest ingeburgerd’

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 26 Mobile Applications Types applicaties op mobiele toestellen  Twee beperkingen:  Netwerkcapaciteit  momenteel nog beperkt tot 40kbps (56?)  Rekenkracht van de toestellen  ondertussen wel al tot 400Mhz RISC processoren  Web based oplossingen  Ideaal voor interactieve toepassingen  Transparante voor de gebruikers via XML/XSLT/CSS...  Online/offline mode: synchronisatie  Agents...

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 27 Mobile Applications Terminal Server  Work remote on local server  Only screen differences are transferred  Access files, internet with LAN speed  PDF’s  Fat-client applications  Internet look-up

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 28 Mobile Applications Mobile Applications – online / offline  on ‘mobile’ device  eg. Fujitsu-Siemens PocketLOOX  possible applications:  SAP: Supply Chain Management  Instant Messaging  Synchronise ‘on-the-air’

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 29 Mobile Applications J2ME

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 30 Mobile Applications  J2ME Connected, Limited Device Configuration (CLDC)  Specifies Java environment for mobile phone, pager, and PDA class devices  CLDC devices are usually wireless  J2ME Connected Device Configuration (CDC)  Specifies Java environment for digital television settop boxes, high end wireless devices, and automotive telematics systems  CDC devices may be wired (DTV cable, etc.)  Full Java 2 Virtual Machine specification

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 31 Mobile Applications Conclusie  Mobiele applicaties zijn heel verscheiden en afhankelijk van het mobiel toestel...  GSM / PDA / Tablet PC / Notebook ... de beschikbare netwerkcapaciteit...  Webbased / terminal emulatie /... ... en de performantie van de systemen  Fat client : Java (J2SE/J2ME/Personal Java) of.NET  Volledige Java VM mogelijk  zeer uitgebreide functionaliteit!

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 32 Mobile Applications Bluetooth

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 33 Mobile Applications Agenda  Inleiding  Mobiele netwerken  Mobiele platformen  Security  Algemeen  Netwerktechnologieën  Applicatietechnologieën  Beveiliging voor mobiele applicaties

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 34 Mobile Applications Algemeen  5 belangrijke concepten  Authentificatie  Autorisatie  Integriteit  Confidentialiteit  Non-repudiation

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 35 Mobile Applications Authentificatie - Wie ben ik en hoe bewijs ik dit?  Doel: identificatie  Bijvoorbeeld:  Gebruikersnaam/paswoord  Naam/Paspoortnummer  Token  Certificaat ...  Praktisch voorbeeld:  Belastingsaangifte  ...

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 36 Mobile Applications Autorisatie – Wat mag ik doen?  Doel: toekennen van rechten aan geauthentificeerde gebruikers  Voorbeeld:  Gebruik van rollen  ‘root privileges’ ...  Praktisch voorbeeld:  Wie mag jouw lezen?  Wie kan aan jouw bestanden?  Wie heeft het recht om een studiebeurs goed te keuren?  Wie mag betalingen doen van deze rekeningen?

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 37 Mobile Applications Integriteit – Echtheid van informatie  Doel: verzekeren dat wat je krijgt ook is wat was bedoeld door de auteur  Voorbeeld  CRC : pariteitsbits  foutcontrole  Digitale handtekening  Praktisch voorbeeld:  Belastingsaangifte  Rekeninguitreksels ...

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 38 Mobile Applications Confidentialiteit – We houden dit geheim!  Doel: verzekeren dat niemand ongewild informatie kan lezen  Technische middelen:  Encryptie!  Praktisch voorbeeld  E-banking  Ministerverslagen  Paswoorden ...

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 39 Mobile Applications Non-repudiation of ‘onweerlegbaarheid’  Doel: het onweerlegbaar maken van een bepaalde actie of communicatie  Voorbeeld:  Belastingsaangifte  Overschrijving  Getuigenverklaring  Digitale handtekening ...  Middel:  Certificaten, digitale handtekening

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 40 Mobile Applications Agenda  Inleiding  Mobiele netwerken  Mobiele platformen  Security  Algemeen  Netwerktechnologieën  Applicatietechnologieën  Beveiliging voor mobiele applicaties

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 41 Mobile Applications TCP/IP - herhaling  Transportlaag: TCP/UDP  Belangrijk: poorten  Netwerklaag: IP  Belangrijke informatie in de header:  poorten  Source  destination  protocol ...

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 42 Mobile Applications Firewalls  Systeem dat twee gescheiden netwerken op een gecontroleerde manier met elkaar verbindt  Gescheiden netwerken  Gecontroleerde manier  Packet filtering  Statefull inspection  anti-spoofing  NAT  Goed boek: “Building Internet Firewalls” van O’Reilly

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 43 Mobile Applications DMZ-architecturen  Concept: Nooit directe communicatie tussen intern netwerk en internet  Gebruik van bastion servers  ‘hardened’  geen kritische informatie  Gebruik van gateway servers  Proxy  Portal server  Mail relay server  DOEL: voornaamste doel: Confidentialiteit

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 44 Mobile Applications DMZ - voorbeeld

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 45 Mobile Applications VPN – De oplossing voor thuiswerk  Virtual Private network  Geëncrypteerde tunnel door het internet naar het intranet  Volledig afgeschermd van het internetverkeer Gevaren? Achterpoortjes op lokale computer ICQ, MSN, modemverbinding,... Dit wordt opgevangen door de VPN Client

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 46 Mobile Applications Conclusie  Netwerkbeveiliging kan enkel instaan voor ‘low level’ beveiliging:  Confidentialiteit  Beperkte vorm van Autorisatie (op IP-niveau)  Om de andere niveaus van beveiliging te bereiken zijn andere mechanismen nodig...  Dit is zo voor zowel mobiele als gewone gebruikers

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 47 Mobile Applications Agenda  Inleiding  Mobiele netwerken  Mobiele platformen  Security  Algemeen  Netwerktechnologieën  Applicatietechnologieën  Beveiliging voor mobiele applicaties

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 48 Mobile Applications Directories – Het digitale telefoonboek  LDAP = Lightweight Directory Access Protocol  Leightweight: geoptimaliseerd voor het opvragen van gegevens  Directory: gebruikersgegevens worden opgeslagen in een boomstructuur  username/name/paswoord(hash)/adres/...  rollen  Andere implementaties bestaan  Active Directory : LDAP v3 compatibel  Novell Directory Server: NDS  NIS/NIS+ (unix-gebaseerd, verouderd)

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 49 Mobile Applications PKI – Magical Mathematics  PKI = Public Key Infrastructure  gebaseerd op discrete wiskunde – modulo rekenen  Basis:  het ontleden van een product van twee priemgetallen in de priemfactoren is NP-compleet  logaritme(n) in het modulo rekenen is NP-compleet  Maw: onmogelijk om ‘te kraken’

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 50 Mobile Applications PKI (2)  Publieke sleutels:  Iedereen beschikt over een sleutelpaar: een publiek gekende sleutel (certificaat) D(x) en een private sleutel E(x)  E(D(x)) = x én omgekeerd D(E(x)) = x  Toepassingen:  Digitale handtekening: E(x)  enkel met D() te ontcijferen  Maw degene die getekend heeft is de eigenaar van de private sleutel die met het certificaat overeenkomt  Integriteit  Non-Repudiation  Authenticatie: E(x)  server  Confidentialiteit: D(x)  ontvanger : enkel met E(x) te ontcijferen

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 51 Mobile Applications SSL  Secure Socket Layer  session layer van de OSI stack  Opbouw van een geëncrypteerde tunnel tussen client en server  Deze tunnel (=sessie) kan voor alle andere protocols worden gebruikt  HTTPS, SSH, SCP, s-ftp,...

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 52 Mobile Applications SSL (2) lieven paswoordKjjdhj kdjklj lieven paswoord Kjjdhj kdjklj

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 53 Mobile Applications SSL (3) Handshake hello Sleutel certificaat finished application data

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 54 Mobile Applications SSL (4) Sleuteluitwisseling over klaartekst? CA client server e = private key server d = public key server c = private key CA b = public key CA k = master key d C(d) d,C(d) d=B(C(d)) k,D(k) D(k) k=E(D(k)) K(ack)

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 55 Mobile Applications Webservices – Algemeen  Asynchroon mechanisme voor het communiceren tussen applicaties, bijvoorbeeld voor RPC  Gebruikte technieken:  XML  HTTP/MIME  Gecombineerd: SOAP  In Java  JMS  Probleem:  HTTP  poort 80! Wordt standaard door firewalls doorgelaten!  De ontvanger moet weten of dit een geldig request is: authentification, autorisation

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 56 Mobile Applications Toepassing: Secure Webservices  Webservices kunnen secure worden gemaakt door het gebruik van voorgaande technieken  Certificaten voor zender en ontvanger  PKI  Encryptie van de resultaten  SSL

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 57 Mobile Applications Conclusie  Netwerkbeveiliging is niet voldoende  Technieken/standaarden in de applicatielaag bestaan:  PKI  SSL  Directories (LDAP)

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 58 Mobile Applications

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 59 Mobile Applications Agenda  Inleiding  Mobiele netwerken  Mobiele platformen  Security  Beveiliging voor mobiele applicaties

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 60 Mobile Applications Doelstelling  Op basis van enkele case-studies samen nadenken hoe bovenstaande technieken kunnen gebruikt worden om een veilige oplossing te bieden

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 61 Mobile Applications Case 1 – Mailbox  Probleemsituatie Outlook WAP / WEB browser Exchange server

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 62 Mobile Applications Security vraagstukken?  Confidentialiteit  ???  Authentification/autorisatie  in Exchange server/Windows  Integriteit  opgevangen door TCP/IP  Non repudiation  niet van toepassing  Oplossing dus voor de confidentialiteit  Op te lossen met netwerkbeveiliging  VPN / Firewalls (minder goed door poortgebruik van Exchange)  Alternatief: Webmail  SSL/HTTPS  Firewall  poort 443 (HTTPS)

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 63 Mobile Applications VPN voor GPRS

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 64 Mobile Applications Case 2 – interne webapplicatie via het internet

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 65 Mobile Applications Security Vraagstukken  Vaste poort: Poort 80 / HTTP  via ‘bastion server’ / ‘gateway’ / reverse proxy  Authentificatie  via LDAP  Autorisatie  via rollen / profielen  Plaats van authentificatie / autorisatie  Portal server  moderne oplossing, zorgt voor SSO  Via JNDI  LDAP authentificatie  Autorisatie op basis van rollen in applicatie

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 66 Mobile Applications Case 3 - Agents

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 67 Mobile Applications Andere probleemstelling!  Variabele poorten  A2A comminicatie  RMI  Oplossing 1: application server in de DMZ  Pro: makkelijke oplossing  Contra: nog steeds krachtig protocol over firewall  Oplossing 2: webservices  Communicatie via gateway naar intern netwerk  Security via certificaten: authenticated SOAP  Oplossing 3: VPN (mobile intranet)

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 68 Mobile Applications Conclusie  Netwerkbeveiliging voor mobiele applicaties (IP-laag) idem als voor normale internetcommunicatie  Beperkingen van mobiele platformen zorgen voor technologische beperkingen op het vlak van de mogelijkheden in de applicatielaag  Soms beperkte Java API  Geen krachtige VPN client mogelijk (voorlopig)  “Beste” oplossingen  Netwerktechnisch: VPN via ‘mobile intranet’  Applicatie: authenticated webservices  via authenticatieservice in DMZ

Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 69 Mobile Applications Vragen? ?