Charla impartida por Carlos Alberto Escolá, del Centro de Innovación en Movilidad de Microsot, en el Curso de Seguidad Informatica de la Universidad de Salamana 2009.
2. Agenda
Curso verano USAL
Riesgos cómunes en dispositivos móviles Herramientas de administración de seguridad
Malware Seguridad en programación
Navegación insegura Firma de código
Configuración incorrecta
Seguridad en entornos móviles de Microsoft
Aplicaciones no confiables
System Management Server 2003
Comunicaciones inseguras
Exchange 2007
Acceso no autorizado a datos
SCMDM 2008
Funcionalidades de seguridad en WM Aprovisionamiento de dispositivos
Modelo de seguridad Estándar OMA
Una capa Piloto de seguridad del CIM
Dos capas
Bloqueo del dispositivo
Cifrado del dispositivo
Borrado del dispositivo
Comunicaciones seguras
Certificados
Politicas de seguridad
Taxonomia de soluciones comerciales de
seguridad
3. Riesgos comunes en dispositivos
móviles Curso verano USAL
• Malware • Comunicaciones
o Virus inseguras
o Troyanos o Wi-Fi
o Software espía o Bluetooth
o Rootkits o Celulares
o Gusanos o locales
o Parásitos • Acceso no autorizado a
• Navegación insegura datos
o Perdida, robo
• Configuración incorrecta
o Usuarios maliciosos
• Aplicaciones no
confiables
4. Riesgos de seguridad
Curso verano USAL
• Riesgo:
o Mayor facilidad de perdida o
sustracción del dispositivo
Solución preventiva
o Educación del usuario: el dispositivo
esta en el bolsillo o en la mano
Solución reactiva
o Borrado remoto de dispositivo
5. Riesgos de seguridad
Curso verano USAL
• Riesgo:
o Intrusiones locales no autorizadas
o Acceso no autorizado a datos (LOPD)
Solución preventiva
o Bloqueo del dispositivo
o Cifrado de datos
o Borrado local
Solución reactiva
o borrado remoto
6. Riesgos de seguridad
Curso verano USAL
• Riesgo:
o Comunicaciones inseguras
WiFi abierta, Rogue AP…
Webs maliciosas
Bluetooth abierto
Cifrados frágiles o rotos (PPTP, WEP…)
Solución preventiva
o Uso de canales seguros y cifrados
fuertes (IPSec, WPA2…)
o Educación del usuario: no usar canales
de comunicación no fiables
7. Riesgos de seguridad
Curso verano USAL
Riesgo:
o Navegación insegura
Solución preventiva
o Uso de aplicaciones
antimalware, bloqueo de
webs maliciosas…
o Restricción del uso de
Internet mediante politicas
de seguridad
o Educación del usuario: no
navegar en sitios no fiables
8. Riesgos de seguridad
Curso verano USAL
• Riesgo:
o Configuración
incorrecta
Solución preventiva
o Usode herramientas
de gestión de
dispositivos
9. Riesgos de seguridad
Curso verano USAL
Riesgo:
o Malware
Solución preventiva
o Uso de aplicaciones
antimalware
o Educación del usuario
10. Riesgos de seguridad
Curso verano USAL
Riesgo:
o Perdida de datos
Solución preventiva
o Uso de herramientas de copia de
seguridad
11. Riesgos de seguridad
Curso verano USAL
Riesgo:
o Aplicaciones no
confiables
Solución preventiva:
o Control del software
autorizado para instalar
en los dispositivos
12. Funcionalidades de seguridad en dispositivos
WM Niveles de ejecución de aplicaciones
Curso verano USAL
• La ejecución de las aplicaciones esta basada en
permisos. Los dispositivos Windows Mobile tienen
tres niveles de acceso al sistema para la ejecución
de un programa:
• Privilegiado
• Normal
• Bloqueado
Es el sistema operativo el que concede a una aplicación
un nivel de ejecución
13. Funcionalidades de seguridad en dispositivos
WM Niveles de ejecución de aplicaciones
Curso verano USAL
• Ejecución modo privilegiado:
• Se puede invocar a cualquier API
• Se puede escribir en áreas protegidas del registro
• Acceso completo a los ficheros del sistema.
• Ejecución modo normal:
• No se puede invocar a las APIs de confianza
• No se puede escribir en áreas protegidas del registro
• No se puede escribir ficheros del sistema
• No se puede instalar certificados en almacenes
protegidos.
14. Funcionalidades de seguridad en dispositivos
WM Modelos de seguridad
Curso verano USAL
Seguridad de una capa:
o Firmado con un certificado de confianza
o Las aplicaciones pueden ejecutarse sin ningún tipo de
comprobación y ejecutarse con permisos privilegiados en
el dispositivo
o Pueden llamar a cualquier API
o Se ejecutan en el dispositivo con el rol de MANAGER
o No firmado o firmado con un certificado desconocido
o Las aplicaciones requieren comprobación de políticas de
seguridad para determinar si se podrán ejecutar. Si se
permite ejecutarlas, se ejecutarán con los mismos
permisos que si son aplicaciones firmadas
15. Funcionalidades de seguridad en dispositivos
WM Modelos de seguridad
Curso verano USAL
Seguridad de dos capas:
o Firmado con un certificado de confianza: Las aplicaciones pueden
ejecutarse sin ningún tipo de comprobación
o Hay distinción entre aplicaciones Privilegiadas y Normales:
o Las aplicaciones firmadas con un certificado del almacén Privilegiado se
ejecutan con permisos privilegiados y tienen acceso completo al
dispositivo
o El resto de aplicaciones se ejecutan con permisos normales. Pueden leer
áreas del registro protegidas y ficheros del sistema. No pueden escribir
en áreas del registro, ficheros del sistema o acceder a WindowsSystem
o Las aplicaciones en modo privilegiado tienen el rol de MANAGER y
en modo normal el de USER_AUTH
o No firmado o firmado con un certificado desconocido
o Requieren comprobación de políticas de seguridad para determinar si
se podrán ejecutar. Si se permite ejecutarlas, se ejecutarán con
permisos normales
16. Funcionalidades de seguridad en dispositivos
WM Flujo de control de ejecución
Curso verano USAL
No firmada Ejecutar aplicación Firmada
¿Puede ejecutar
No está en ¿Dónde está el
aplicaciones no certificado?
firmadas? el dispositivo
Si Está en el Está en el
No contenedor
contenedor
¿Hay que avisar al normal privilegiado
usuario de la
ejecución?
Si
No Entrada de usuario
Denegar Permitir
¿Una capa o dos capas?
Dos Una
capas capa
Bloquear/denegar ejecución Ejecución normal Ejecución privilegiada
17. Funcionalidades de seguridad en dispositivos
WM
Curso verano USAL
Soporte de plataforma para los modelos de seguridad
Plataforma una capa dos capas
Windows Mobile 5.0 Si Si (por defecto)
Smartphone
Windows Mobile 5.0 Si (por defecto) No
PPC Phone
Windows Mobile 5.0 Si (por defecto) No
PPC
Windows Mobile 6 Si (por defecto) No
Professional
Windows Mobile 6 Si (por defecto) No
Classic
Windows Mobile 6 Si Si (por defecto)
Standard
18. Funcionalidades de seguridad en dispositivos
WM Modelos de seguridad mas comunes
Curso verano USAL
Los niveles de acceso mas comunes son:
Locked
One-tier Mobile2Market Locked
One-tier prompt
Security Off
Two-tier Mobile2Market Locked
Two-tier prompt
19. Funcionalidades de seguridad de WM
Curso verano USAL
Bloqueo local por
inactividad
Desbloqueo por
contraseña
configurable en
complejidad
Borrado local (usando
Exchange 2003 SP2/
2007, SCMDM 2008 u
OMA)
20. Funcionalidades de seguridad de WM
Curso verano USAL
Cifrado de la tarjeta de
almacenamiento secundario
(WM 6.1)
o AES-128
o La penalización de
rendimiento es mínima
(penaliza mas la operación de
E/S que la operación de
cifrado/descifrado)
o Sobrecarga del fichero: una
página para la cabecera y una
para cada 200K de fichero
(aprox 16K para un fichero de
600K)
21. Funcionalidades de seguridad de WM
Curso verano USAL
Comunicaciones
seguras
o VPN
L2TP/IPSec
o WiFi
WPA-2 cifrado AES
802.1x
22. Funcionalidades de seguridad de WM
Curso verano USAL
En WM 6.x existen 6
almacenes de certificados
Almacén con privilegios
Almacén estándar
Almacén SPC (Software
Publishing Certificates)
Root
CA (Intermediate)
My (personal)
Instalación de certificados con
un solo click
23. Funcionalidades de seguridad de WM
Curso verano USAL
Politicas de seguridad
o 40 politicas de seguridad en los dispositivos
http://msdn.microsoft.com/en-
us/library/bb416355.aspx
o Configurables mediante OMA o SCMDM 2008
24. Herramientas de administración de
seguridad Security Configuration Manager
Curso verano USAL
Muestra configuración
de seguridad actual del
dispositivo WM o del
emulador
Permite configurar el
emulador con
directivas comunes de
seguridad para probar
aplicaciones
25. Herramientas de administración de
seguridad Device Security Manager
Curso verano USAL
Device Security Manager
Integración con Visual Studio 2008
Entender y administrar las
caracterisiticas de seguridad del
dispositivo
Exportar configuración de
seguridad
Crear una configuración de
seguridad personalizada
Administrar certificados en el
dispositivo
Ver certificados en el dispositivo
Añadir o eliminar certificados del
dispositivo
26. Herramientas de administración de
seguridad XML Templates
Curso verano USAL
Locked:
• Solo las aplicaciones firmadas con un certificado digital
que se encuentre en el contenedor privilegiado pueden
ejecutarse
• Todas las llamadas a la RAPI son rechazadas
• Los certificados Mobile2Market son eliminados del
dispositivo pero los certificados OEM, Mobile Operator
o Enterprise siguen presentes.
27. Herramientas de administración de
seguridad XML Templates
Curso verano USAL
One Tier Prompt:
• Esta política permite a las aplicaciones firmadas con un
certificado reconocido por el dispositivo ejecutarse sin
avisar al usuario.
• El dispositivo avisa al usuario antes de permitir la
ejecución de aplicaciones no firmadas o firmadas
incorrectamente.
• Una vez la aplicación está corriendo, tiene permisos
totales sobre el dispositivo.
28. Herramientas de administración de
seguridad XML Templates
Curso verano USAL
Security Off:
• Tanto las aplicaciones firmadas como no firmadas se les
permite ser ejecutadas sin ninguna comprobación de
seguridad y sin avisar al usuario.
• Cualquier aplicación puede llamar a cualquier API y
modificar cualquier parte del registro y del sistema de
ficheros
• Esta política puede ser usada durante la fase de testing
de un dispositivo.
29. Herramientas de administración de
seguridad XML Templates
Curso verano USAL
Mobile To Market Locked:
• Las aplicaciones que están firmadas pueden ejecutarse.
• Las aplicaciones que no están firmadas no pueden
ejecutarse.
• Una vez que la aplicación esta corriendo los permisos son
determinados por la ubicación del certificado digital.
• Mobile2Market es el programa de certificación y marketing
de Microsoft. Los partners proporcionan una CA y servicios
de forma digital para Windows Mobile. Una vez firmada la
app, se puede incluir en el catálogo de M2M de aplicaciones
de Microsoft.
30. Herramientas de administración de
seguridad XML Templates
Curso verano USAL
Two Tier Prompt:
• Esta política permite la ejecución de aplicaciones firmadas.
• El dispositivo pregunta al usuario antes de ejecutar
aplicaciones no firmadas.
• Una vez que se ejecuta aplicación firmada, los permisos de
la aplicación son determinados por el certificado:
• Aplicaciones firmadas con un certificado en el contenedor
Privilegiado tienen acceso sin restricciones al dispositivo
• Aplicaciones firmadas con un certificado en el contenedor no
privilegiado se ejecutan con permisos normales
• Si un usuario permite la ejecución de aplicaciones no
firmadas, se le aplican permisos normales
31. Herramientas de administración de seguridad
Editor de registro remoto
Curso verano USAL
El editor de registro remoto es una
herramienta del SDK de Visual
Studio .NET que permite acceder al
registro de Windows Mobile tanto
de emuladores como de
dispositivos físicos
A través del registro de Windows
Mobile se puede configurar la
seguridad de los dispositivos, así
como obtener su configuración
actual
Las políticas de seguridad están
alojadas en el registro de Windows
Mobile del dispositivo:
HKLMSecurity
32. Ensamblados de nombre seguro y ficheros SNK
Curso verano USAL
Los ensamblados de nombre seguro están
formados por:
la identidad del ensamblado (nombre, número de
versión e info de referencia cultural)
Clave pública
Firma digital
Se genera a partir de un archivo del ensamblado (el
archivo que contiene el manifiesto del ensamblado)
mediante la clave privada correspondiente.
33. Ensamblados de nombre seguro y ficheros SNK
Curso verano USAL
Los ensamblados de nombre seguro cumplen los
siguientes requisitos:
Garantizan exclusividad del nombre
Protegen la procedencia de la versión de un ensamblado
Proporcionan comprobación de integridad
Solo un ensamblado de nombre seguro puede hacer
referencia a otro ensamblado de nombre seguro
Se realizan comprobaciones de seguridad a la hora de
cargar el ensamblado / en el momento de instalarlo en la
GAC
Permite la instalación del ensamblado en la Caché de
Ensamblados Global (GAC)
GAC en Windows
Mobile
Windowscgacutil.ex
34. Ensamblados de nombre seguro y ficheros SNK
Curso verano USAL
Los ensamblados de nombre en los dispositivos
Windows Mobile se ubican en la carpeta Windows
bajo el nombre
GAC_<shortname>_v<maj>_<min>_<build>_<rev>_c<culture>_<re
f>.dll
Al contrario que en .NET en .NETCF
los ensamblados de la GAC son
almacenados en IL y el CLR necesita
compilarlos cada vez que los carga.
El mayor beneficio que se tendría aquí
se aplica al ahorro de espacio al
registrar un ensamblado en la GAC
GAC en Windows
Mobile
Windowscgacutil.ex
35. Ensamblados de nombre seguro y ficheros SNK
En Visual Studio 2008
Curso verano USAL
Propiedades de proyecto Firma
36. ¿Qué es Authenticode?
Curso verano USAL
Authenticode es una tecnología desarrollada por Microsoft
que permite a los equipos verificar el origen de los
programas, documentos y otros tipos de ficheros
El uso mas común de Authenticode es el de certificar
software que corre en Microsoft Windows
Una firma digital de Authenticode permite asegurarse de
que el software es original, de que no es un troyano ni un
programa potencialmente peligroso que puede enmascarar
otro producto. También se utiliza para detectar si el
programa ha sido modificado
37. ¿Qué es Authenticode?
Curso verano USAL
Una firma digital de Authenticode no prueba en si misma
que el software que lleva no es peligroso. Sin embargo, la
persona u organización que firman el software tienen que
probar que ellos fueron los que publicaron el certificado.
Por lo tanto los certificados son trazables.
Un certificado SPC (Software Publisher Certificate) es aquel
que acredita a una entidad como distribuidora de software.
Es un certificado que ha de obtenerse antes de comenzar la
distribución de software y se consigue realizando una
petición a una entidad emisora de certificados.
38. ¿Donde puedo conseguir estos cerficados?
Curso verano USAL
Por defecto los dispositivos Windows Mobile salen
con una variedad de certificados:
Certificados raíz de confianza de los “major certificate
vendors”
Mobile2Market y otros certificados de confianza que
se designan al firmado de aplicaciones
Certificados adicionales que pueden ser añadidos por
el OEM
39. ¿Donde puedo conseguir estos cerficados?
Curso verano USAL
A través de una Entidad emisora de Certificados de
tu empresa (Servicio de Windows Certificate Server
en Windows 2000/2003/2008)
A través del programa Mobile2Market
A través de cualquier entidad emisora raíz de
confianza que pertenezca a la lista de CA’s de
confianza de Microsoft y que emita certificados de
Authenticode válidos para e-commerce
40. Firma digital de software
En Visual Studio 2008
Curso verano USAL
Para firmar con Authenticode un ensamblado de
Compact Framework
Propiedades de proyecto Dispositivos
41. Taxonomia de soluciones comerciales
de seguridad Curso verano USAL
41
Firewall
Anti Malware
Backup
Comunicaciones seguras
Gestión de seguridad
Gestión centralizada
42. Políticas de contraseñas
Curso verano USAL
Uso de contraseñas fuertes
o 8 caracteres mínimo
o Mayúsculas, minúsculas,
números, caracteres
o Periodo de caducidad
o Historial de contraseñas
o Diccionario de contraseñas
comunes
Compromiso entre
seguridad y complejidad
para el usuario
43. Soluciones anti malware
Curso verano USAL
Soluciones de terceros
para la prevención de
infecciones, limpieza de
dispositivos,
anti phissing…
Evaluación del riesgo vs
despliegue
44. Soluciones de copia de seguridad
Curso verano USAL
Copia de seguridad de
o Ficheros
o estado del sistema
o datos PIM
Contactos (SIM, personales)
Correos
Calendario
45. Comunicaciones seguras
Curso verano USAL
Confidencialidad, integridad,
autenticación, no repudio
Establecer canales seguros
en medios inseguros
o HTTPS
o VPN
WiFi cifrada al menos con
WPA
Bluetooth no descubrible
Uso de PKI
46. Seguridad en entornos móviles de
Microsoft Curso verano USAL
46
System Management Server 2003
Exchange 2007 SP1
System Center Mobile Device Manager 2008
Aprovisionamiento de dispositivos
Estándar OMA
Piloto de seguridad del CIM
47. Seguridad en entornos móviles de
Microsoft Systems Management Server 2003
47 Curso verano USAL
Device Management Feature Pack
Inventario hardware y software de dispositivos
Colección de ficheros
Distribución de software
Gestión de configuración
Gestion de política de contraseñas
Addin a SMC 2003
Gestiona dispositivos:
Windows Mobile Pocket PC 2002
Windows Mobile Pocket PC 2003
Windows Mobile Pocket PC 5.0
Descarga: http://technet.microsoft.com/en-us/sms/bb676769.aspx
48. Seguridad en entornos móviles de
Microsoft Exchange 2007
Curso verano USAL
OWA (Outlook Web Access)
Acceso Web a Exchange
Acceso Premium (IE
6.0/7.0) o ligero (otros
navegadores)
Autenticación: standard
(básica, digest, Windows),
basada en formularios, ISA
Server, smart card, RSA
Secur ID
Acceso a las carpetas
públicas
Soporta navegación desde
PDA
Autoservicio de usuario
Borrado de dispositivos
móviles
Restablecimiento de PIN
49. Seguridad en entornos móviles de
Microsoft EAS (Exchange Active Sync)
Curso verano USAL
Acceso y sincronización
desde dispositivos
móviles (WM5 y WM6)
de correo, calendario,
tareas y contactos
Cifrado y compresion de
los datos enviados y
recibidos
Direct Push
Politicas de seguridad
Borrado local y remoto
Recuperación de
contraseña
50. Seguridad en entornos móviles de
Microsoft Gestión de dispositivos
50 Curso verano USAL
CAL standard
Sincronización Autenticación Cifrado
Configurar formato de mensajes (HTML o Caracteres mínimos en contraseñas Requerir mensajes con firma SMIME
texto plano) complejas
Requerir mensaje cifrados SMIME
Incluir correos antiguos Habilitar recuperación de contraseña
Requerir algoritmo de firma SMIME
Tamaño del truncado del cuerpo (plano o Permitir contraseñas sencillas
Requerir algoritmo de cifrado SMIME
HTML)
Caducidad de la contraseña (días)
Permitir negociación de algoritmo de
Incluir citas de calendario pasadas
Histórico de contraseñas cifrado SMIME
Requerir sincronización manual si se esta en
Acceso a ficheros compartidos de Windows Permitir SMIME SoftCerts
roaming
Acceso a sharepoint Cifrado del dispositivo
Permitir descargas de adjuntos
Longitud mínima de la contraseña Cifrado de la tarjeta de almacenamiento
Tamaño máximo de adjuntos
Timeout por inactividad
Requerir contraseña
Requerir contraseña compleja
Número de intentos fallidos
Intervalo de refresco de la política
Permitir dispositivos no provisionables
51. Seguridad en entornos móviles de
Microsoft Gestión de dispositivos
51 Curso verano USAL
CAL Enterprise
Control de dispositivo Control de conexiones Control de aplicaciones
Deshabilitar ActiveSync Deshabilitar Wi-Fi Deshabilitar correo
Deshabilitar Bluetooth POP3/IMAP4
Deshabilitar almacenamiento
extraíble Deshabilitar IrDA Permitir correo de usuario
Deshabilitar cámara Permitir conexión a Internet Permitir navegador
compartida Permitir aplicaciones no
Deshabilitar SMS y MMS firmadas
Permitir compartir escritorio
desde el dispositivo Permitir CABs no firmados
Lista blanca de aplicaciones
Lista negra de aplicaciones
52. Seguridad en entornos móviles de
MicrosoftCaracteristicas de SCMDM 2008
52 Curso verano USAL
Gestión del dispositivo
Gestión centralizada
Aprovisionamiento y arranque totalmente OTA (Over The Air).
Distribución de software OTA SCMDM 2008
Inventariado del hardware y software de los dispositivos móviles
Capacidades de reportes
Gestión de seguridad
Unión a dominio
Cifrado del sistema de ficheros del dispositivo y/o de la tarjeta de
almacenamiento secundario
Listas blancas y negras de aplicaciones
Instalación de aplicaciones firmadas
Borrado remoto (wipe) completo del dispositivo Gestión del
Bloqueo por inactividad dispositivo VPN móvil
Complejidad de contraseñas
Control de comunicaciones
VPN móvil Gestión de
Autenticación de máquina y seguridad de doble sobre Persistencia de sesión seguridad
y reconexión rápida
Roaming Internet/red de trabajo
Basado en estándar (IKEv2, Túnel en modo IPSEC)
53. Seguridad en entornos móviles de
Microsoft Enroll en el dispositivo
53 Curso verano USAL
54. Seguridad en entornos móviles de
Microsoft de distribución de software
Proceso
54 Curso verano USAL
Servidor de
gestión
(1) Conexión con el servidor de gateway
(2) Conexión con el servidor de gestión
(4) Envío de software (4) Envío de software
(5) Notificación de instalación
(5) Notificación de instalación
Servidor de
gateway
Repositorio
de
software
55. Seguridad en entornos móviles de
Microsoft
Políticas para dispositivos moviles
Curso verano USAL
55
Computer settings
56. Seguridad en entornos móviles de
Microsoft
Políticas para usuarios moviles
56 Curso verano USAL
User Configuration
57. Seguridad en entornos móviles de
Microsoft VPN Móvil: Caracteristicas
57 Curso verano USAL
Seguridad de doble sobre
Tunel IPSec
Tráfico SSL
Persistencia de sesión
Reconexión rápida
Roaming entre redes
Básada en estandares Mobile
OMA DM Gateway
IPSec
IKE v2 y MobIKE Internet
SCOMO (Borrador de OMA para
gestión de software) Túnel IPSec
Tráfico SSL
El GW Server hará de proxy hacia
Internet o la zona corporativa
58. Seguridad en entornos móviles de
Microsoft VPN en el dispositivo
58 Curso verano USAL
TODO el tráfico
del dispositivo se
dirige al GW vía
VPN no hay
conexión directa
a Internet
Puede
desconectarse la
VPN en el
dispositivo
59. Aprovisionamiento de dispositivos
59 Curso verano USAL
¿Qué es el aprovisionamiento de dispositivos
móviles?
Gestión del dispositivo después de ser desplegado en una infraestructura de red
Configuración del dispositivo e instalación o actualización de aplicaciones
Gestión controlada mediante un servidor
Se utilizan ficheros XML (CPF) que contiene la información sobre la configuración y que
se envían al dispositivo
Los CSP (como el gestor de configuración) en el dispositivo configuran el dispositivo de
acuerdo al contenido del XML
Mediante el aprovisionamiento es posible:
Cambiar la configuración del core y el registro
Configurar, añadir, actualizar o desinstalar software
Actualizar el SO con nuevos componentes
Personalizar y añadir componentes de interfaz de usuario
Activar software disponible en ROM u OTA
60. Aprovisionamiento de dispositivos
Estándar OMA
60 Curso verano USAL
Open Mobile Alliance
Misión. Su misión es proporcionar servicios interoperables que permitan trabajar a
través de países, operadoras y dispositivos móviles.
Independencia de la red. Las especificaciones OMA son agnósticas en cuanto al tipo de
tecnología de red a utilizar en la conexión y el transporte de datos. La especificación de
OMA para una funcionalidad concreta, es la misma para redes GSM, UMTS o CDMA2000.
Voluntaria. OMA no es una organización de estándares promovida y patrocinada por el
gobierno como podría ser ITU. No obstante, sí pretende ser un foro para que las
principales compañías de la industria se pongan de acuerdo y sigan unas especificaciones
comunes para sus productos y servicios. Estrictamente hablando, el cumplimiento de los
estándares es completamente voluntario puesto que OMA no tiene un poder
mandatario.
Licencia de propiedad intelectual "FRAND". Los miembros que posean derechos de
propiedad intelectual (p.ej. patentes) en tecnologías esenciales para la realización de una
especificación deben estar de acuerdo en proporcionar licencias para su tecnología de
una forma "justa, razonable y no discriminatoria" (FRAND - "fair, reasonable and non-
discriminatory", del inglés) a los demás miembros de la OMA.
61. Aprovisionamiento de dispositivos
Estándar OMA
61 Curso verano USAL
Se Definen:
Proveedores de configuración (CSP)
Métodos de transporte
DM
Client
RAPI
Formato de fichero de aprovisionamiento
62. Aprovisionamiento de dispositivos
Estándar OMA: CSP
62 Curso verano USAL
CSP Descripción CSP Descripción
Permite que un servidor OMD DM v1.2 maneje objetos OMA DM account. El servidor puede
Especifica las redes de destino a las que pueden conectarse múltiples utilizar este proveedor de servicios de configuración para agregar una nueva cuenta o para
ACCESS DMS
objetos. administrar una cuenta existente, incluyendo una cuenta aprovisionada mediante el CSP w7
APPLICATION.
Habilita a un servidor OMA DM para descargar aplicaciones en ficheros .cab e instalar las
APPLICATION w2 Añade un nuevo favorito. Download
aplicaciones.
APPLICATION w4 Configura el servicio Multimedia (MMS). EMAIL2 Configura los servicios de e-mail del protocolo de internet.
APPLICATION w7 Establece una cuenta OMA DM En el dispositivo. FileOperation Administra los archivos y directorios del dispositivo.
Consulta el sistema de archivos del dispositivo para obtener información sobre los ficheros del
APPLICATION 110 Configura el servicio POP3. FileSystem
dispositivo.
Utilizado para actualizaciones de firmware. Gestiona la URL de actualización de paquetes y
APPLICATION 143 Configura el servicio IMAP. FwUpdate
notifica al usuario las nuevas actualizaciones utilizando el Download Agent UI.
APPLICATION 25 Configura el servicio SMTP. Home Configura la pantalla Home del dispositivo.
Permite que el servidor OMA DM consulte el hardware del dispositivo, información del
Bluetooth Configura el modo de operación Bluetooth. Inventory sistema, información sobre el sistema de ficheros, así como las aplicaciones que hay instaladas
en el dispositivo.
Utilizado para agregar, modificar, eliminar y consultar certificados o hashes binarios en la lista
BOOTSTRAP Establece el TPS para el dispositivo. LoaderRevocation
de revocación.
BrowserFavorite Agrega o elimina URLs de la lista de favoritos del dispositivo. Locale Configura los ajustes regionales del dispositivo.
Camera Habilita o deshabilita la cámara en un dispositivo. Metabase Utilizado para agregar, modificar y eliminar entradas de la metabase.
Configura los tipos de certificados y activa el enrollment del dispositivo.
CertificateEnroller NAP Configura los datos y conexiones celulares del dispositivo.
Consulta y renueva los certificados del lado del dispositivo.
Agrega certificados de seguridad y máscaras de rol en el almacén de Agrega, modifica y elimina definiciones de puntos de acceso a redes WAP (NAPDEFs), así
CertificateStore NAPDEF
certificados del dispositivo. como sus correspondientes ajustes.
Clock Establece el tiempo y la fecha del dispositivo NetworkPolicy Configura las políticas de red para Bluetooth, IrDA y Wi-Fi.
Configura las entradas GPRS (General Packet Radio Services) del
CM GPRSEntries Obex Configura el servidor Obex, el cual gestiona las comunicaciones Bluetooth e infrarroja.
dispositivo.
63. Aprovisionamiento de dispositivos
Estándar OMA:CSP
63 Curso verano USAL
CSP Descripción CSP Descripción
Configura las entradas de red mediante proxy. Cada nodo proxy numerado configura una
CM Mappings Configura la tabla de mapeo de URL. PROXY
conexión proxy.
CM NetEntries Configura entradas de red adicionales en el dispositivo. PXLOGICAL Agrega, elimina y modifica WAP lógico y proxys físicos.
CM Networks Configura las conexiones de red en el dispositivo. Registry Configura el registro del dispositivo.
CM Planner Configura las conexiones preferidas por Connection Manager. RemoteWipe Utilizado por el servidor para iniciar remotamente el borrado del dispositivo.
Utilizado por el servidor para consultar al dispositivo los paquetes ROM de la versión empleada
CM PPPEntries Configura las entradas del protocolo punto a punto (PPP) del dispositivo. ROMPackage
por la actualización de firmware.
Habilita un listado de bloques seguros de archivos binarios en la ROM de un dispositivo, así
CM ProxyEntries Configura las conexiones proxy. SoftwareDisable
como una lista de acceso seguro de ficheros binarios no firmados en RAM.
CM VPNEntries Configura las entradas de redes privadas virtuales (VPN). SecurityPolicy Configura los ajustes de las políticas de seguridad del dispositivo.
Configura las entradas de redes WiFi. Nota: Este CSP está en desuso, se
CM WiFiEntries incluye por razones de compatibilidad hacia atrás, para dispositivos Sounds Configura los sonidos asociados con varios eventos del dispositivo.
Windows Mobile se recomienda utilizar el CSP Wi-Fi.
Configura las conexiones preferidas por Connection Manager. Nota: Este
Permite rellenar las entradas de velocidad de marcado antes de la entrega del dispositivo al
CMPLANNER CSP es una extensión exclusiva de OMA DM. Para aprovisionar SpeedDial
usuario.
dispositivos con OMA Client ha de emplearse CM Planner.
Maneja el objeto DevDetail de OMA MD, el cual contiene parámetros
DevDetail Sync Configura los ajustes de sincronización del dispositivo.
específicos del dispositivo.
Configura los ajustes de telefonía del sistema global de comunicaciones móviles (GSM – Global
DeviceEncryption Protege datos confidenciales utilizando cifrado. Tapi
System Mobile Communications).
Permite que el servidor consulte información general al dispositivo, como la Elimina aplicaciones del dispositivo. Nota: Con OMA DM sólo es posible consultar las
DeviceInformation UnInstall
versión del SO o el uso de memoria. aplicaciones instaladas en el dispositivo, no es posible desinstalarlas.
Maneja el objeto DevInfo de OMA DM. Este objeto contiene información
DevInfo VoIP Configura o consulta los ajustes de voz sobre IP.
del dispositivo y se envía al servidor al inicio de cada sesión OMA DM.
Maneja el objeto DMAcc de OMA DM, el cual almacena los ajustes
específicos del servidor OMA DM. Estos ajustes se conocen en conjunto
DMAcc VNP Permite al servidor configurar remotamente las entradas VPN del dispositivo.
como OMA DM account. El nodo DMAcc es común a todos los nodos
OMA DM account.
Wi-Fi Configura o consulta los ajustes de Wi-Fi.
64. Aprovisionamiento de dispositivos
Roles de acceso a CSP
64 Curso verano USAL
Rol Descripción
None SECROLE_NONE Sin rol asignado
La configuración puede ser cambiada por el o administrador. Este rol permite acceso a todos
Manager SECROLE_MANAGER
los recursos del sistema
Enterprise Rol para administrador de Exchange. Permite gestionar configuraciones como borrado del
SECROLE_ENTERPRISE
dispositivo, gestión de contraseñas y certificados
Rol del propietario del dispositivo. Los permisos están determinados por la configuración del
Authenticated User recurso al que se solicita acceso. Este rol también se asigna a:
SECROLE_USER_AUTH
•Mensajes WAP push firmados con PIN.
•Mensajes recibidos por RAPI.
Unauthenticated Rol anónimo.
SECROLE_USER_UNAUTH
User Asignado a mensaje WAP sin firmar. Permite instalar fondos de pantalla o tonos de llamada
Operator SECROLE_OPERATOR
Trusted
SECROLE_OPERATOR_TPS
Provisioning Server
Known Push Proxy
SECROLE_KNOWN_PPG
Gateway
Device Trusted
Roles asignados a servidores Trusted Provisioning Server (TPS) de Wireless Application
Push Proxy SECROLE_PPG_TRUSTED
Protocol (WAP).
Gateway
Push Initiator
SECROLE_PPG_AUTH
Authenticated
Trusted Push Proxy
SECROLE_TRUSTED_PPG
Gateway
Any Push Message SECROLE_ANY_PUSH_SOURCE
66. Piloto configuración dispositivos
66 Curso verano USAL
Funcionalidades:
o Posibilidad configurar hasta 53 servicios en un
dispositivo
o Varias plataformas de destino
o Generación de archivos XML en formato OMA Client
o Generación de archivos .cab
o Envío de archivos .cab a dispositivo
o Configuración de dispositivos desde el interfaz
o Impresión de archivos XML