Download de presentatie
De presentatie wordt gedownload. Even geduld aub
1
Global network of innovation © Copyright Siemens Business Services Lieven Kenis4 december 2003 Security for mobile applications ir. Lieven Kenis
2
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 2 Mobile Applications Agenda Inleiding Mobiele netwerken Mobiele platformen Security Beveiliging voor mobiele applicaties
3
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 3 Mobile Applications The top ten companies in electrical engineering and electronics in 2001 Total sales (in billions of euros) 142. 4 28.5 GE (U.S. ) 99. 7 94.7 IBM (U.S. ) 69.6 38.3 Matsushita Electric (Japan) 51. 1 48.5 Fujitsu (Japan ) 50. 9 48.4 Hewlett- Packard (U.S.) 53.5 37.5 Toshiba (Japan) 70. 5 24.7 Sony (Japan ) 79. 2 47.5 Hitachi (Japan ) * 87. 0 69.6 Siemens (Germany ) *including Infineon 51.2 NEC (Japa n) 51.2 3) 1)2)3) Sales in electrical capital goods (in billions of euros)
4
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 4 Mobile Applications Siemens Business Services: A Siemens company within the I and C segment TS I and C Automation and Control Power Financing and Real Estate Transpor- tation Legally independent units Siemens groups A&D I&S SD SBT SFSPG PTDOsram TS IC Mobile IC Networks SBS AT Medical Lighting SRESV Med
5
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 5 Mobile Applications Siemens Business Services market positions FY 2000 pro forma sales, EUR bill. * estimatedSources: Company reporting, PAC HP / Compaq merger: Pro-forma market positioning 2000 Worldwide 1. IBM Global Services 35.9 2. EDS 21.4 3. Fujitsu IT Services 17.0 4. HP/Compaq 15.3 5. CSC 11.4 11. SBS 5.9... Europe 1. IBM Global Services 9.5* 2. EDS/Systematics 5.7* 3. HP/Compaq 5.5 * 3. T-Systems 5.5* 5. SBS 5.3 5. CapGem E&Y 5.3 Germany 1. T-Systems 4.5* 2. SBS 3.0 3. IBM Global Services 2.5* 4. EDS/Systematics 1.5 5. HP/Compaq 1.0* Belgium 1. IBM Global Services 3.8* 2. Cap Gem E&Y 2.2* 3. SBS 2.1 * 4. Atos 1.0* 5. HP/ Compaq 1.0
6
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 6 Mobile Applications Norway Canada USA Sweden Finland South Africa SingaporeIndia China Spain Italy Portugal France Switzerland Hungary Czech Rep. Denmark German y CISRussia Australia Morocco Belgium Austria Ireland Great Britain Netherlands Polan d Turkey Business Unit Legal Entity Argentina Brazil Siemens Business Services - Worldwide presence
7
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 7 Mobile Applications Wat over mezelf... Naam: Lieven Kenis Opleiding: Burgerlijk ingenieur computerwetenschappen Functies binnen Siemens Business Services Mobile business Consultant CRM Consultant (Frankrijk) Systems Architect voor de Vlaamse Gemeenschap en diverse kleinere projecten Security Officer voor de Vlaamse Gemeenschap Internationale opdrachten
8
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 8 Mobile Applications A new way of life...
9
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 9 Mobile Applications Agenda Inleiding Mobiele netwerken WLAN (WiFi) Bluetooth GPRS UMTS Andere: WAP/EDGE/GSM DATA/... Mobiele platformen Security Beveiliging voor mobiele applicaties
10
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 10 Mobile Applications WLAN IEEE 802.11 standaarden, ‘WiFi’ Ethernet / momenteel 11Mbit/s Voordelen: Makkelijk te installeren zeker in oude gebouwen Flexibel Nadelen ‘securityrisico’ via encryptie te regelen, no issue Ethernet capaciteit gedeeld over gebruikers Hotspots “Sinfilo” Intel Centrino
11
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 11 Mobile Applications Mobile Networks
12
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 12 Mobile Applications Mobile Technologies – circuit / packet switched service Circuit Switched Service Packet Switched Service once the connection has been set up, data can be transmitted the connection is kept open permanently after set-up the data is transported a step further by each transport packet after the transportation of the individual packets, the connection is free to take others
13
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 13 Mobile Applications GPRS Time Division Multiplexing Voice : 8 timeslots GPRS gebruikt enkele ongebruikte timeslots voor data 123456781 VDDDD678V Nadelen? Voice heeft voorrang, beschikbare datacapaciteit afhankelijk van de voicebezetting
14
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 14 Mobile Applications ClassDownlinkUplinkActive 1112 2213 3223 4314 5224 6324 7334 8415 9325 10425 11435 12445 Elk slot heeft een theoretische snelheid van 14,4kbps In praktijk minder door: coderingsbits/foutcorrectie/retransmissie
15
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 15 Mobile Applications UMTS – The cell concept
16
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 16 Mobile Applications UMTS – bandwith*distance = cte
17
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 17 Mobile Applications Conclusie Mobiele netwerken bieden niets anders dan een IP connectiviteit Dus: behandel mobiele netwerken NET ALS internet/intranet WLAN: mobiele versie van het ethernet 11Mbit/s GPRS: mobiele versie van de analoge lijn 56kbps Toekomst(muziek?): UMTS...
18
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 18 Mobile Applications Agenda Inleiding Mobiele netwerken Mobiele platformen Toestellen Applicatieplatformen Security Beveiliging voor mobiele applicaties
19
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 19 Mobile Applications Mobile Devices – WAP Phone limited display limited keyboard limited CPU and memory integrated GSM/GPRS module WAP browser moderate cost voice
20
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 20 Mobile Applications winCE device Mobile Devices - PDA Voice integrated GSM/GPRS module enabling phone functionality and assistant color TFT touch-screen display 320x240 Pocket Office (Word, Excel, …) limited keyboard cheaper and more flexible than a notebook
21
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 21 Mobile Applications Mobile Devices – Tablet PC winXP limited keyboard no voice operational time (full operation modus) Full functionality Handwriting recognition high-end touch-screen display 1024x768
22
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 22 Mobile Applications Mobile Devices - notebook windows device unlimited modular communication solution via PC cards (WLAN, GSM-DATA, GPRS, …) high-end display 1024x768 MS-Office (Word, Excel, …) expensive, heavy and complex operational time up to 3 hours (full operation modus) full keyboard startup-time
23
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 23 Mobile Applications Agenda Inleiding Mobiele netwerken Mobiele platformen Toestellen Applicatieplatformen Security Beveiliging voor mobiele applicaties
24
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 24 Mobile Applications Verschillende Operating Systemen... Windows CE MS Windows gebaseerd PalmOS Voornamelijk in Palm toestellen (en hun klonen) Symbian Voornamelijk in smartphones
25
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 25 Mobile Applications leiden tot verschillende applicatieplatformen... Windows CE .NET JVM mogelijk (maar niet ‘standaard’) MS strategie PalmOS Java (Personal Java, recent J2ME) Symbian Personal Java, recent J2ME of eigen variant ‘Java op het moment het meest ingeburgerd’
26
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 26 Mobile Applications Types applicaties op mobiele toestellen Twee beperkingen: Netwerkcapaciteit momenteel nog beperkt tot 40kbps (56?) Rekenkracht van de toestellen ondertussen wel al tot 400Mhz RISC processoren Web based oplossingen Ideaal voor interactieve toepassingen Transparante voor de gebruikers via XML/XSLT/CSS... Online/offline mode: synchronisatie Agents...
27
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 27 Mobile Applications Terminal Server Work remote on local server Only screen differences are transferred Access files, internet with LAN speed PDF’s Fat-client applications Internet look-up
28
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 28 Mobile Applications Mobile Applications – online / offline on ‘mobile’ device eg. Fujitsu-Siemens PocketLOOX possible applications: SAP: Supply Chain Management Instant Messaging Synchronise ‘on-the-air’
29
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 29 Mobile Applications J2ME
30
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 30 Mobile Applications J2ME Connected, Limited Device Configuration (CLDC) Specifies Java environment for mobile phone, pager, and PDA class devices CLDC devices are usually wireless J2ME Connected Device Configuration (CDC) Specifies Java environment for digital television settop boxes, high end wireless devices, and automotive telematics systems CDC devices may be wired (DTV cable, etc.) Full Java 2 Virtual Machine specification
31
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 31 Mobile Applications Conclusie Mobiele applicaties zijn heel verscheiden en afhankelijk van het mobiel toestel... GSM / PDA / Tablet PC / Notebook ... de beschikbare netwerkcapaciteit... Webbased / terminal emulatie /... ... en de performantie van de systemen Fat client : Java (J2SE/J2ME/Personal Java) of.NET Volledige Java VM mogelijk zeer uitgebreide functionaliteit!
32
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 32 Mobile Applications Bluetooth
33
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 33 Mobile Applications Agenda Inleiding Mobiele netwerken Mobiele platformen Security Algemeen Netwerktechnologieën Applicatietechnologieën Beveiliging voor mobiele applicaties
34
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 34 Mobile Applications Algemeen 5 belangrijke concepten Authentificatie Autorisatie Integriteit Confidentialiteit Non-repudiation
35
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 35 Mobile Applications Authentificatie - Wie ben ik en hoe bewijs ik dit? Doel: identificatie Bijvoorbeeld: Gebruikersnaam/paswoord Naam/Paspoortnummer Token Certificaat ... Praktisch voorbeeld: Belastingsaangifte Email ...
36
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 36 Mobile Applications Autorisatie – Wat mag ik doen? Doel: toekennen van rechten aan geauthentificeerde gebruikers Voorbeeld: Gebruik van rollen ‘root privileges’ ... Praktisch voorbeeld: Wie mag jouw email lezen? Wie kan aan jouw bestanden? Wie heeft het recht om een studiebeurs goed te keuren? Wie mag betalingen doen van deze rekeningen?
37
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 37 Mobile Applications Integriteit – Echtheid van informatie Doel: verzekeren dat wat je krijgt ook is wat was bedoeld door de auteur Voorbeeld CRC : pariteitsbits foutcontrole Digitale handtekening Praktisch voorbeeld: Belastingsaangifte Rekeninguitreksels ...
38
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 38 Mobile Applications Confidentialiteit – We houden dit geheim! Doel: verzekeren dat niemand ongewild informatie kan lezen Technische middelen: Encryptie! Praktisch voorbeeld E-banking Ministerverslagen Paswoorden ...
39
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 39 Mobile Applications Non-repudiation of ‘onweerlegbaarheid’ Doel: het onweerlegbaar maken van een bepaalde actie of communicatie Voorbeeld: Belastingsaangifte Overschrijving Getuigenverklaring Digitale handtekening ... Middel: Certificaten, digitale handtekening
40
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 40 Mobile Applications Agenda Inleiding Mobiele netwerken Mobiele platformen Security Algemeen Netwerktechnologieën Applicatietechnologieën Beveiliging voor mobiele applicaties
41
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 41 Mobile Applications TCP/IP - herhaling Transportlaag: TCP/UDP Belangrijk: poorten Netwerklaag: IP Belangrijke informatie in de header: poorten Source destination protocol ...
42
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 42 Mobile Applications Firewalls Systeem dat twee gescheiden netwerken op een gecontroleerde manier met elkaar verbindt Gescheiden netwerken Gecontroleerde manier Packet filtering Statefull inspection anti-spoofing NAT Goed boek: “Building Internet Firewalls” van O’Reilly
43
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 43 Mobile Applications DMZ-architecturen Concept: Nooit directe communicatie tussen intern netwerk en internet Gebruik van bastion servers ‘hardened’ geen kritische informatie Gebruik van gateway servers Proxy Portal server Mail relay server DOEL: voornaamste doel: Confidentialiteit
44
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 44 Mobile Applications DMZ - voorbeeld
45
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 45 Mobile Applications VPN – De oplossing voor thuiswerk Virtual Private network Geëncrypteerde tunnel door het internet naar het intranet Volledig afgeschermd van het internetverkeer Gevaren? Achterpoortjes op lokale computer ICQ, MSN, modemverbinding,... Dit wordt opgevangen door de VPN Client
46
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 46 Mobile Applications Conclusie Netwerkbeveiliging kan enkel instaan voor ‘low level’ beveiliging: Confidentialiteit Beperkte vorm van Autorisatie (op IP-niveau) Om de andere niveaus van beveiliging te bereiken zijn andere mechanismen nodig... Dit is zo voor zowel mobiele als gewone gebruikers
47
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 47 Mobile Applications Agenda Inleiding Mobiele netwerken Mobiele platformen Security Algemeen Netwerktechnologieën Applicatietechnologieën Beveiliging voor mobiele applicaties
48
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 48 Mobile Applications Directories – Het digitale telefoonboek LDAP = Lightweight Directory Access Protocol Leightweight: geoptimaliseerd voor het opvragen van gegevens Directory: gebruikersgegevens worden opgeslagen in een boomstructuur username/name/paswoord(hash)/adres/... rollen Andere implementaties bestaan Active Directory : LDAP v3 compatibel Novell Directory Server: NDS NIS/NIS+ (unix-gebaseerd, verouderd)
49
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 49 Mobile Applications PKI – Magical Mathematics PKI = Public Key Infrastructure gebaseerd op discrete wiskunde – modulo rekenen Basis: het ontleden van een product van twee priemgetallen in de priemfactoren is NP-compleet logaritme(n) in het modulo rekenen is NP-compleet Maw: onmogelijk om ‘te kraken’
50
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 50 Mobile Applications PKI (2) Publieke sleutels: Iedereen beschikt over een sleutelpaar: een publiek gekende sleutel (certificaat) D(x) en een private sleutel E(x) E(D(x)) = x én omgekeerd D(E(x)) = x Toepassingen: Digitale handtekening: E(x) enkel met D() te ontcijferen Maw degene die getekend heeft is de eigenaar van de private sleutel die met het certificaat overeenkomt Integriteit Non-Repudiation Authenticatie: E(x) server Confidentialiteit: D(x) ontvanger : enkel met E(x) te ontcijferen
51
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 51 Mobile Applications SSL Secure Socket Layer session layer van de OSI stack Opbouw van een geëncrypteerde tunnel tussen client en server Deze tunnel (=sessie) kan voor alle andere protocols worden gebruikt HTTPS, SSH, SCP, s-ftp,...
52
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 52 Mobile Applications SSL (2) lieven paswoordKjjdhj kdjklj lieven paswoord Kjjdhj kdjklj
53
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 53 Mobile Applications SSL (3) Handshake hello Sleutel certificaat finished application data
54
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 54 Mobile Applications SSL (4) Sleuteluitwisseling over klaartekst? CA client server e = private key server d = public key server c = private key CA b = public key CA k = master key d C(d) d,C(d) d=B(C(d)) k,D(k) D(k) k=E(D(k)) K(ack)
55
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 55 Mobile Applications Webservices – Algemeen Asynchroon mechanisme voor het communiceren tussen applicaties, bijvoorbeeld voor RPC Gebruikte technieken: XML HTTP/MIME Gecombineerd: SOAP In Java JMS Probleem: HTTP poort 80! Wordt standaard door firewalls doorgelaten! De ontvanger moet weten of dit een geldig request is: authentification, autorisation
56
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 56 Mobile Applications Toepassing: Secure Webservices Webservices kunnen secure worden gemaakt door het gebruik van voorgaande technieken Certificaten voor zender en ontvanger PKI Encryptie van de resultaten SSL
57
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 57 Mobile Applications Conclusie Netwerkbeveiliging is niet voldoende Technieken/standaarden in de applicatielaag bestaan: PKI SSL Directories (LDAP)
58
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 58 Mobile Applications
59
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 59 Mobile Applications Agenda Inleiding Mobiele netwerken Mobiele platformen Security Beveiliging voor mobiele applicaties
60
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 60 Mobile Applications Doelstelling Op basis van enkele case-studies samen nadenken hoe bovenstaande technieken kunnen gebruikt worden om een veilige oplossing te bieden
61
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 61 Mobile Applications Case 1 – Mailbox Probleemsituatie Outlook WAP / WEB browser Exchange server
62
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 62 Mobile Applications Security vraagstukken? Confidentialiteit ??? Authentification/autorisatie in Exchange server/Windows Integriteit opgevangen door TCP/IP Non repudiation niet van toepassing Oplossing dus voor de confidentialiteit Op te lossen met netwerkbeveiliging VPN / Firewalls (minder goed door poortgebruik van Exchange) Alternatief: Webmail SSL/HTTPS Firewall poort 443 (HTTPS)
63
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 63 Mobile Applications VPN voor GPRS
64
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 64 Mobile Applications Case 2 – interne webapplicatie via het internet
65
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 65 Mobile Applications Security Vraagstukken Vaste poort: Poort 80 / HTTP via ‘bastion server’ / ‘gateway’ / reverse proxy Authentificatie via LDAP Autorisatie via rollen / profielen Plaats van authentificatie / autorisatie Portal server moderne oplossing, zorgt voor SSO Via JNDI LDAP authentificatie Autorisatie op basis van rollen in applicatie
66
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 66 Mobile Applications Case 3 - Agents
67
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 67 Mobile Applications Andere probleemstelling! Variabele poorten A2A comminicatie RMI Oplossing 1: application server in de DMZ Pro: makkelijke oplossing Contra: nog steeds krachtig protocol over firewall Oplossing 2: webservices Communicatie via gateway naar intern netwerk Security via certificaten: authenticated SOAP Oplossing 3: VPN (mobile intranet)
68
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 68 Mobile Applications Conclusie Netwerkbeveiliging voor mobiele applicaties (IP-laag) idem als voor normale internetcommunicatie Beperkingen van mobiele platformen zorgen voor technologische beperkingen op het vlak van de mogelijkheden in de applicatielaag Soms beperkte Java API Geen krachtige VPN client mogelijk (voorlopig) “Beste” oplossingen Netwerktechnisch: VPN via ‘mobile intranet’ Applicatie: authenticated webservices via authenticatieservice in DMZ
69
Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 69 Mobile Applications Vragen? ?
Verwante presentaties
