De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Global network of innovation © Copyright Siemens Business Services Lieven Kenis4 december 2003 Security for mobile applications ir. Lieven Kenis.

Verwante presentaties


Presentatie over: "Global network of innovation © Copyright Siemens Business Services Lieven Kenis4 december 2003 Security for mobile applications ir. Lieven Kenis."— Transcript van de presentatie:

1 Global network of innovation © Copyright Siemens Business Services Lieven Kenis4 december 2003 Security for mobile applications ir. Lieven Kenis

2 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 2 Mobile Applications Agenda  Inleiding  Mobiele netwerken  Mobiele platformen  Security  Beveiliging voor mobiele applicaties

3 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 3 Mobile Applications The top ten companies in electrical engineering and electronics in 2001 Total sales (in billions of euros) 142. 4 28.5 GE (U.S. ) 99. 7 94.7 IBM (U.S. ) 69.6 38.3 Matsushita Electric (Japan) 51. 1 48.5 Fujitsu (Japan ) 50. 9 48.4 Hewlett- Packard (U.S.) 53.5 37.5 Toshiba (Japan) 70. 5 24.7 Sony (Japan ) 79. 2 47.5 Hitachi (Japan ) * 87. 0 69.6 Siemens (Germany ) *including Infineon 51.2 NEC (Japa n) 51.2 3) 1)2)3) Sales in electrical capital goods (in billions of euros)

4 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 4 Mobile Applications Siemens Business Services: A Siemens company within the I and C segment TS I and C Automation and Control Power Financing and Real Estate Transpor- tation Legally independent units Siemens groups A&D I&S SD SBT SFSPG PTDOsram TS IC Mobile IC Networks SBS AT Medical Lighting SRESV Med

5 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 5 Mobile Applications Siemens Business Services market positions FY 2000 pro forma sales, EUR bill. * estimatedSources: Company reporting, PAC HP / Compaq merger: Pro-forma market positioning 2000 Worldwide 1. IBM Global Services 35.9 2. EDS 21.4 3. Fujitsu IT Services 17.0 4. HP/Compaq 15.3 5. CSC 11.4 11. SBS 5.9... Europe 1. IBM Global Services 9.5* 2. EDS/Systematics 5.7* 3. HP/Compaq 5.5 * 3. T-Systems 5.5* 5. SBS 5.3 5. CapGem E&Y 5.3 Germany 1. T-Systems 4.5* 2. SBS 3.0 3. IBM Global Services 2.5* 4. EDS/Systematics 1.5 5. HP/Compaq 1.0* Belgium 1. IBM Global Services 3.8* 2. Cap Gem E&Y 2.2* 3. SBS 2.1 * 4. Atos 1.0* 5. HP/ Compaq 1.0

6 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 6 Mobile Applications Norway Canada USA Sweden Finland South Africa SingaporeIndia China Spain Italy Portugal France Switzerland Hungary Czech Rep. Denmark German y CISRussia Australia Morocco Belgium Austria Ireland Great Britain Netherlands Polan d Turkey Business Unit Legal Entity Argentina Brazil Siemens Business Services - Worldwide presence

7 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 7 Mobile Applications Wat over mezelf...  Naam: Lieven Kenis  Opleiding: Burgerlijk ingenieur computerwetenschappen  Functies binnen Siemens Business Services  Mobile business Consultant  CRM Consultant (Frankrijk)  Systems Architect voor de Vlaamse Gemeenschap en diverse kleinere projecten  Security Officer voor de Vlaamse Gemeenschap  Internationale opdrachten

8 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 8 Mobile Applications A new way of life...

9 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 9 Mobile Applications Agenda  Inleiding  Mobiele netwerken  WLAN (WiFi)  Bluetooth  GPRS  UMTS  Andere: WAP/EDGE/GSM DATA/...  Mobiele platformen  Security  Beveiliging voor mobiele applicaties

10 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 10 Mobile Applications WLAN  IEEE 802.11 standaarden, ‘WiFi’  Ethernet / momenteel 11Mbit/s  Voordelen:  Makkelijk te installeren zeker in oude gebouwen  Flexibel  Nadelen  ‘securityrisico’  via encryptie te regelen, no issue  Ethernet  capaciteit gedeeld over gebruikers  Hotspots  “Sinfilo”  Intel Centrino

11 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 11 Mobile Applications Mobile Networks

12 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 12 Mobile Applications Mobile Technologies – circuit / packet switched service Circuit Switched Service Packet Switched Service once the connection has been set up, data can be transmitted the connection is kept open permanently after set-up the data is transported a step further by each transport packet after the transportation of the individual packets, the connection is free to take others

13 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 13 Mobile Applications GPRS  Time Division Multiplexing  Voice : 8 timeslots  GPRS gebruikt enkele ongebruikte timeslots voor data 123456781 VDDDD678V Nadelen? Voice heeft voorrang, beschikbare datacapaciteit afhankelijk van de voicebezetting

14 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 14 Mobile Applications ClassDownlinkUplinkActive 1112 2213 3223 4314 5224 6324 7334 8415 9325 10425 11435 12445 Elk slot heeft een theoretische snelheid van 14,4kbps In praktijk minder door: coderingsbits/foutcorrectie/retransmissie

15 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 15 Mobile Applications UMTS – The cell concept

16 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 16 Mobile Applications UMTS – bandwith*distance = cte

17 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 17 Mobile Applications Conclusie  Mobiele netwerken bieden niets anders dan een IP connectiviteit  Dus: behandel mobiele netwerken NET ALS internet/intranet  WLAN: mobiele versie van het ethernet  11Mbit/s  GPRS: mobiele versie van de analoge lijn  56kbps  Toekomst(muziek?): UMTS...

18 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 18 Mobile Applications Agenda  Inleiding  Mobiele netwerken  Mobiele platformen  Toestellen  Applicatieplatformen  Security  Beveiliging voor mobiele applicaties

19 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 19 Mobile Applications Mobile Devices – WAP Phone limited display limited keyboard limited CPU and memory integrated GSM/GPRS module WAP browser moderate cost voice

20 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 20 Mobile Applications winCE device Mobile Devices - PDA Voice integrated GSM/GPRS module enabling phone functionality and assistant color TFT touch-screen display 320x240 Pocket Office (Word, Excel, …) limited keyboard cheaper and more flexible than a notebook

21 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 21 Mobile Applications Mobile Devices – Tablet PC winXP limited keyboard no voice operational time (full operation modus) Full functionality Handwriting recognition high-end touch-screen display 1024x768

22 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 22 Mobile Applications Mobile Devices - notebook windows device unlimited modular communication solution via PC cards (WLAN, GSM-DATA, GPRS, …) high-end display 1024x768 MS-Office (Word, Excel, …) expensive, heavy and complex operational time up to 3 hours (full operation modus) full keyboard startup-time

23 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 23 Mobile Applications Agenda  Inleiding  Mobiele netwerken  Mobiele platformen  Toestellen  Applicatieplatformen  Security  Beveiliging voor mobiele applicaties

24 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 24 Mobile Applications Verschillende Operating Systemen...  Windows CE  MS Windows gebaseerd  PalmOS  Voornamelijk in Palm toestellen (en hun klonen)  Symbian  Voornamelijk in smartphones

25 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 25 Mobile Applications leiden tot verschillende applicatieplatformen...  Windows CE .NET  JVM mogelijk (maar niet ‘standaard’)  MS strategie  PalmOS  Java (Personal Java, recent J2ME)  Symbian  Personal Java, recent J2ME of eigen variant ‘Java op het moment het meest ingeburgerd’

26 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 26 Mobile Applications Types applicaties op mobiele toestellen  Twee beperkingen:  Netwerkcapaciteit  momenteel nog beperkt tot 40kbps (56?)  Rekenkracht van de toestellen  ondertussen wel al tot 400Mhz RISC processoren  Web based oplossingen  Ideaal voor interactieve toepassingen  Transparante voor de gebruikers via XML/XSLT/CSS...  Online/offline mode: synchronisatie  Agents...

27 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 27 Mobile Applications Terminal Server  Work remote on local server  Only screen differences are transferred  Access files, internet with LAN speed  PDF’s  Fat-client applications  Internet look-up

28 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 28 Mobile Applications Mobile Applications – online / offline  on ‘mobile’ device  eg. Fujitsu-Siemens PocketLOOX  possible applications:  SAP: Supply Chain Management  Instant Messaging  Synchronise ‘on-the-air’

29 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 29 Mobile Applications J2ME

30 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 30 Mobile Applications  J2ME Connected, Limited Device Configuration (CLDC)  Specifies Java environment for mobile phone, pager, and PDA class devices  CLDC devices are usually wireless  J2ME Connected Device Configuration (CDC)  Specifies Java environment for digital television settop boxes, high end wireless devices, and automotive telematics systems  CDC devices may be wired (DTV cable, etc.)  Full Java 2 Virtual Machine specification

31 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 31 Mobile Applications Conclusie  Mobiele applicaties zijn heel verscheiden en afhankelijk van het mobiel toestel...  GSM / PDA / Tablet PC / Notebook ... de beschikbare netwerkcapaciteit...  Webbased / terminal emulatie /... ... en de performantie van de systemen  Fat client : Java (J2SE/J2ME/Personal Java) of.NET  Volledige Java VM mogelijk  zeer uitgebreide functionaliteit!

32 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 32 Mobile Applications Bluetooth

33 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 33 Mobile Applications Agenda  Inleiding  Mobiele netwerken  Mobiele platformen  Security  Algemeen  Netwerktechnologieën  Applicatietechnologieën  Beveiliging voor mobiele applicaties

34 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 34 Mobile Applications Algemeen  5 belangrijke concepten  Authentificatie  Autorisatie  Integriteit  Confidentialiteit  Non-repudiation

35 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 35 Mobile Applications Authentificatie - Wie ben ik en hoe bewijs ik dit?  Doel: identificatie  Bijvoorbeeld:  Gebruikersnaam/paswoord  Naam/Paspoortnummer  Token  Certificaat ...  Praktisch voorbeeld:  Belastingsaangifte  Email ...

36 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 36 Mobile Applications Autorisatie – Wat mag ik doen?  Doel: toekennen van rechten aan geauthentificeerde gebruikers  Voorbeeld:  Gebruik van rollen  ‘root privileges’ ...  Praktisch voorbeeld:  Wie mag jouw email lezen?  Wie kan aan jouw bestanden?  Wie heeft het recht om een studiebeurs goed te keuren?  Wie mag betalingen doen van deze rekeningen?

37 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 37 Mobile Applications Integriteit – Echtheid van informatie  Doel: verzekeren dat wat je krijgt ook is wat was bedoeld door de auteur  Voorbeeld  CRC : pariteitsbits  foutcontrole  Digitale handtekening  Praktisch voorbeeld:  Belastingsaangifte  Rekeninguitreksels ...

38 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 38 Mobile Applications Confidentialiteit – We houden dit geheim!  Doel: verzekeren dat niemand ongewild informatie kan lezen  Technische middelen:  Encryptie!  Praktisch voorbeeld  E-banking  Ministerverslagen  Paswoorden ...

39 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 39 Mobile Applications Non-repudiation of ‘onweerlegbaarheid’  Doel: het onweerlegbaar maken van een bepaalde actie of communicatie  Voorbeeld:  Belastingsaangifte  Overschrijving  Getuigenverklaring  Digitale handtekening ...  Middel:  Certificaten, digitale handtekening

40 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 40 Mobile Applications Agenda  Inleiding  Mobiele netwerken  Mobiele platformen  Security  Algemeen  Netwerktechnologieën  Applicatietechnologieën  Beveiliging voor mobiele applicaties

41 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 41 Mobile Applications TCP/IP - herhaling  Transportlaag: TCP/UDP  Belangrijk: poorten  Netwerklaag: IP  Belangrijke informatie in de header:  poorten  Source  destination  protocol ...

42 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 42 Mobile Applications Firewalls  Systeem dat twee gescheiden netwerken op een gecontroleerde manier met elkaar verbindt  Gescheiden netwerken  Gecontroleerde manier  Packet filtering  Statefull inspection  anti-spoofing  NAT  Goed boek: “Building Internet Firewalls” van O’Reilly

43 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 43 Mobile Applications DMZ-architecturen  Concept: Nooit directe communicatie tussen intern netwerk en internet  Gebruik van bastion servers  ‘hardened’  geen kritische informatie  Gebruik van gateway servers  Proxy  Portal server  Mail relay server  DOEL: voornaamste doel: Confidentialiteit

44 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 44 Mobile Applications DMZ - voorbeeld

45 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 45 Mobile Applications VPN – De oplossing voor thuiswerk  Virtual Private network  Geëncrypteerde tunnel door het internet naar het intranet  Volledig afgeschermd van het internetverkeer Gevaren? Achterpoortjes op lokale computer ICQ, MSN, modemverbinding,... Dit wordt opgevangen door de VPN Client

46 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 46 Mobile Applications Conclusie  Netwerkbeveiliging kan enkel instaan voor ‘low level’ beveiliging:  Confidentialiteit  Beperkte vorm van Autorisatie (op IP-niveau)  Om de andere niveaus van beveiliging te bereiken zijn andere mechanismen nodig...  Dit is zo voor zowel mobiele als gewone gebruikers

47 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 47 Mobile Applications Agenda  Inleiding  Mobiele netwerken  Mobiele platformen  Security  Algemeen  Netwerktechnologieën  Applicatietechnologieën  Beveiliging voor mobiele applicaties

48 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 48 Mobile Applications Directories – Het digitale telefoonboek  LDAP = Lightweight Directory Access Protocol  Leightweight: geoptimaliseerd voor het opvragen van gegevens  Directory: gebruikersgegevens worden opgeslagen in een boomstructuur  username/name/paswoord(hash)/adres/...  rollen  Andere implementaties bestaan  Active Directory : LDAP v3 compatibel  Novell Directory Server: NDS  NIS/NIS+ (unix-gebaseerd, verouderd)

49 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 49 Mobile Applications PKI – Magical Mathematics  PKI = Public Key Infrastructure  gebaseerd op discrete wiskunde – modulo rekenen  Basis:  het ontleden van een product van twee priemgetallen in de priemfactoren is NP-compleet  logaritme(n) in het modulo rekenen is NP-compleet  Maw: onmogelijk om ‘te kraken’

50 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 50 Mobile Applications PKI (2)  Publieke sleutels:  Iedereen beschikt over een sleutelpaar: een publiek gekende sleutel (certificaat) D(x) en een private sleutel E(x)  E(D(x)) = x én omgekeerd D(E(x)) = x  Toepassingen:  Digitale handtekening: E(x)  enkel met D() te ontcijferen  Maw degene die getekend heeft is de eigenaar van de private sleutel die met het certificaat overeenkomt  Integriteit  Non-Repudiation  Authenticatie: E(x)  server  Confidentialiteit: D(x)  ontvanger : enkel met E(x) te ontcijferen

51 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 51 Mobile Applications SSL  Secure Socket Layer  session layer van de OSI stack  Opbouw van een geëncrypteerde tunnel tussen client en server  Deze tunnel (=sessie) kan voor alle andere protocols worden gebruikt  HTTPS, SSH, SCP, s-ftp,...

52 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 52 Mobile Applications SSL (2) lieven paswoordKjjdhj kdjklj lieven paswoord Kjjdhj kdjklj

53 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 53 Mobile Applications SSL (3) Handshake hello Sleutel certificaat finished application data

54 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 54 Mobile Applications SSL (4) Sleuteluitwisseling over klaartekst? CA client server e = private key server d = public key server c = private key CA b = public key CA k = master key d C(d) d,C(d) d=B(C(d)) k,D(k) D(k) k=E(D(k)) K(ack)

55 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 55 Mobile Applications Webservices – Algemeen  Asynchroon mechanisme voor het communiceren tussen applicaties, bijvoorbeeld voor RPC  Gebruikte technieken:  XML  HTTP/MIME  Gecombineerd: SOAP  In Java  JMS  Probleem:  HTTP  poort 80! Wordt standaard door firewalls doorgelaten!  De ontvanger moet weten of dit een geldig request is: authentification, autorisation

56 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 56 Mobile Applications Toepassing: Secure Webservices  Webservices kunnen secure worden gemaakt door het gebruik van voorgaande technieken  Certificaten voor zender en ontvanger  PKI  Encryptie van de resultaten  SSL

57 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 57 Mobile Applications Conclusie  Netwerkbeveiliging is niet voldoende  Technieken/standaarden in de applicatielaag bestaan:  PKI  SSL  Directories (LDAP)

58 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 58 Mobile Applications

59 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 59 Mobile Applications Agenda  Inleiding  Mobiele netwerken  Mobiele platformen  Security  Beveiliging voor mobiele applicaties

60 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 60 Mobile Applications Doelstelling  Op basis van enkele case-studies samen nadenken hoe bovenstaande technieken kunnen gebruikt worden om een veilige oplossing te bieden

61 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 61 Mobile Applications Case 1 – Mailbox  Probleemsituatie Outlook WAP / WEB browser Exchange server

62 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 62 Mobile Applications Security vraagstukken?  Confidentialiteit  ???  Authentification/autorisatie  in Exchange server/Windows  Integriteit  opgevangen door TCP/IP  Non repudiation  niet van toepassing  Oplossing dus voor de confidentialiteit  Op te lossen met netwerkbeveiliging  VPN / Firewalls (minder goed door poortgebruik van Exchange)  Alternatief: Webmail  SSL/HTTPS  Firewall  poort 443 (HTTPS)

63 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 63 Mobile Applications VPN voor GPRS

64 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 64 Mobile Applications Case 2 – interne webapplicatie via het internet

65 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 65 Mobile Applications Security Vraagstukken  Vaste poort: Poort 80 / HTTP  via ‘bastion server’ / ‘gateway’ / reverse proxy  Authentificatie  via LDAP  Autorisatie  via rollen / profielen  Plaats van authentificatie / autorisatie  Portal server  moderne oplossing, zorgt voor SSO  Via JNDI  LDAP authentificatie  Autorisatie op basis van rollen in applicatie

66 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 66 Mobile Applications Case 3 - Agents

67 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 67 Mobile Applications Andere probleemstelling!  Variabele poorten  A2A comminicatie  RMI  Oplossing 1: application server in de DMZ  Pro: makkelijke oplossing  Contra: nog steeds krachtig protocol over firewall  Oplossing 2: webservices  Communicatie via gateway naar intern netwerk  Security via certificaten: authenticated SOAP  Oplossing 3: VPN (mobile intranet)

68 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 68 Mobile Applications Conclusie  Netwerkbeveiliging voor mobiele applicaties (IP-laag) idem als voor normale internetcommunicatie  Beperkingen van mobiele platformen zorgen voor technologische beperkingen op het vlak van de mogelijkheden in de applicatielaag  Soms beperkte Java API  Geen krachtige VPN client mogelijk (voorlopig)  “Beste” oplossingen  Netwerktechnisch: VPN via ‘mobile intranet’  Applicatie: authenticated webservices  via authenticatieservice in DMZ

69 Global network of innovation Inleiding Security Mobile Networks Security for Mobile Applications 69 Mobile Applications Vragen? ?


Download ppt "Global network of innovation © Copyright Siemens Business Services Lieven Kenis4 december 2003 Security for mobile applications ir. Lieven Kenis."

Verwante presentaties


Ads door Google