Comunicaciones

Mejora de la seguridad con Windows Mobile 6

Matt Fontaine

Resumen:

• Seguridad en el dispositivo
• Seguridad de Exchange Server
• Seguridad de red

Los dispositivos móviles aumentan la productividad de los trabajadores en todo el mundo, ofreciéndoles acceso a la información corporativa y manteniéndolos conectados incluso cuando se encuentran lejos de la

oficina física. Los aumentos de productividad son reales: simplemente encienden el dispositivo móvil y comienzan a trabajar.

La otra cara de la moneda son los profesionales de TI que se enfrentan al desafío de la difícil tarea de mantener la oficina virtual protegida y estable. Desde su punto de vista, cada dispositivo móvil representa posibles pérdidas de seguridad de red y un riesgo posible de robo de datos. Es fundamental crear una implementación más segura de dispositivos móviles, pero también se debe equilibrar con una experiencia de usuario intuitiva y sin problemas.

Microsoft® Windows Mobile® 6 y su antecesor, Windows Mobile 5.0 con Messaging and Security Feature Pack (MSFP), incluye muchas características que le ayudan a proteger la infraestructura corporativa con mínimas dificultades y mínimos inconvenientes para los usuarios. El uso de Microsoft Exchange Server como plataforma de mensajería aumenta aún más las opciones de seguridad disponibles. En este artículo, demuestro cómo puede usar Windows Mobile y Exchange Server e incluyo algunas recomendaciones para la seguridad de red como base para proteger los dispositivos móviles de la compañía.

Arquitectura de comunicación móvil

Al planear o actualizar una implementación móvil, existen tres niveles que se deben considerar: el dispositivo, el servidor de mensajes y la red (consulte la figura 1). En el nivel de dispositivo, los desafíos clave incluyen permitir sólo el acceso autorizado al dispositivo e impedir las aplicaciones no autorizadas en el dispositivo. Windows Mobile ayuda a impedir el acceso no autorizado al propio dispositivo a través de autenticación de PIN y protección de contraseña, bloqueo de tiempo de espera de dispositivo y la capacidad de "barrer" o borrar la memoria del dispositivo de forma local o remota si se pierde o es robado. Es compatible con el cifrado de datos del canal de comunicación y los medios de almacenamiento extraíbles. También es esencial impedir la instalación de aplicaciones no autorizadas tales como virus o software espía o que tengan acceso a áreas críticas del dispositivo. La definición de la función de administración, los niveles de acceso de aplicación, la configuración de la firma de código, la configuración de seguridad y los certificados de seguridad se combinan y ayudan a alcanzar una protección en el nivel de dispositivo.

Figura 1** Niveles de comunicación móvil **

El siguiente nivel de seguridad es el servidor de mensajería, tal como Exchange Server 2003 con Service Pack 2 (SP2) o Exchange Server 2007. Este nivel incluye tanto la seguridad de mensajes (tecnología por la cual los mensajes se transmiten en forma segura a los dispositivos y desde los mismos) como la interacción entre el servidor de mensajes y el dispositivo móvil mediante Exchange ActiveSync®. No es necesario que Exchange Server use dispositivos Windows Mobile, pero el uso de Exchange ofrece ventajas de costo, escalabilidad, rendimiento y administración.

Las buenas prácticas de seguridad en el nivel de dispositivo y del servidor de mensajería son claves, pero la protección de la capa de red también es crítica. Al configurar la red corporativa según las recomendaciones e implementar protocolos de seguridad sólidos, puede ayudar a evitar daños en la red incluso si uno o más dispositivos móviles se ven comprometidos.

Directivas de seguridad en el dispositivo

La primera línea de defensa contra riesgos de seguridad es el propio dispositivo Windows Mobile. El sistema operativo Windows Mobile ofrece extensos servicios de seguridad en el nivel de dispositivo que son compatibles con la autenticación, el cifrado de tarjetas de almacenamiento, las redes privadas virtuales (VPN), el cifrado Wi-Fi y los servicios de capa de sockets seguros (SSL). La seguridad en el nivel de dispositivo implica administrar quién tiene acceso a un dispositivo y los datos que éste contiene, controlar qué aplicaciones se pueden ejecutar en el dispositivo y establecer cómo se transmiten los datos al dispositivo y desde el mismo. En general, los administradores tienen mucha flexibilidad para configurar y aplicar directivas de seguridad tanto en Windows Mobile 5.0 con MSFP como en Windows Mobile 6.

El acceso de usuario se administra a través de la autenticación mediante PIN o contraseña. Un dispositivo se puede configurar para bloqueo automático después de un período de inactividad o de ser apagado, lo que requiere que un usuario desbloquee otra vez el dispositivo para usarlo (consulte la figura 2). Los detalles específicos de control de acceso de usuario se establecen mediante directivas de seguridad, que se pueden cambiar según la función de seguridad del administrador.

Figura 2** Establecimiento de directivas de contraseñas **

Las directivas de seguridad definen niveles globales de seguridad para el dispositivo móvil (consulte la figura 3). Las funciones de seguridad determinan quién puede establecer y cambiar estas directivas. La función de administrador, que suele estar reservada para los operadores de dispositivos móviles, ofrece control completo sobre la configuración de directivas de seguridad. La función de empresa es usada por Exchange para administrar algunas directivas de dispositivo, que configura el administrador de Exchange. Según el acuerdo con el proveedor del dispositivo, quizás pueda personalizar directivas de seguridad para la compañía.

Figure 3 Directivas de seguridad para dispositivos móviles

Los métodos de autenticación con capacidad de personalización que usa Windows Mobile se controlan mediante complementos de autenticación local (LAP), que interactúan con el subsistema de autenticación local (LASS). Esta tecnología permite que Exchange Server controle la configuración del dispositivo a un nivel de detalle, por ejemplo, al aplicar requisitos de longitud y seguridad de contraseña o permitir la autenticación de PIN sencilla.

Windows Mobile 6 dispone de un conjunto ampliado de funciones LAP que se configuran mediante Exchange Server 2007. Puede habilitar el reconocimiento de patrones de PIN (por ejemplo, denegar el uso de patrones sencillos tales como "1111" o" 1234"), configurar períodos de expiración de contraseña o PIN, permitir que los usuarios soliciten un restablecimiento de PIN en función de ciertas condiciones o mantener un historial de PIN o contraseñas para impedir que los usuarios vuelvan a usar los PIN o las contraseñas antiguos cuando se les solicite la generación de nuevos.

Protección de datos en los dispositivos

En caso de que se escriba un PIN o contraseña incorrectos más veces que el límite establecido por el administrador, la característica local de barrido de dispositivo reinicia el hardware de dispositivo y borra así su memoria, incluidas las credenciales de autenticación de usuario. El límite se establece como parte de las directivas de seguridad en Exchange Server. Después de dos entradas incorrectas, el dispositivo solicita al usuario que especifique una cadena clave estructurada para continuar (consulte la figura 4). Esto impide el barrido accidental del dispositivo debido a presiones de tecla aleatorias. También es posible el barrido remoto de la tarjeta de almacenamiento cuando se usa Windows Mobile 6 y Exchange Server 2007.

Figura 4** Aplicación del uso de contraseñas y PIN **

Bloquear un dispositivo es poco práctico si alguien deja una tarjeta de almacenamiento de 2 GB con datos corporativos confidenciales en un taxi. Afortunadamente, puede usar también Windows Mobile 6 para resolver este problema. Puede cifrar los datos de la tarjeta de almacenamiento para que sólo el dispositivo que escribe a la tarjeta del almacenamiento la pueda leer. Al igual que con muchas otras características de seguridad mejoradas de Windows Mobile 6, se puede usar Exchange Server 2007 para proporcionar por aire esta característica de seguridad. El cifrado de la tarjeta de almacenamiento es casi transparente para el usuario. Exchange Server 2007 permite que el administrador elija si los usuarios pueden cambiar la configuración de cifrado de su tarjeta de almacenamiento.

En un dispositivo Windows Mobile, las aplicaciones se podrán ejecutar o no según tres niveles de permisos: con privilegios, normal y bloqueado. Las aplicaciones del nivel "con privilegios" (firmadas mediante un certificado en el almacén de certificados "con privilegios") pueden escribir en el Registro y los archivos de sistema, y también pueden instalar certificados. Al igual que con su PC de escritorio o un servidor, cuantas más aplicaciones tengan capacidad de modificar el entorno de sistema operativo, mayor será la posibilidad de poner en peligro ese entorno. Normalmente es una buena práctica reducir el número de aplicaciones con acceso "con privilegios". La mayoría de las aplicaciones sólo se necesitan ejecutar en el nivel "normal" (aplicaciones firmadas mediante un certificado en el almacén de certificados sin privilegios o aplicaciones sin firmar que el usuario acepta ejecutar), que les permite ejecutar pero impide el acceso a archivos de sistema. Las aplicaciones bloqueadas son precisamente eso, están bloqueadas y no se pueden ejecutar debido a una firma o acción de usuario incorrectas.

Los dispositivos pueden tener una configuración de acceso de seguridad de un nivel o de dos niveles. Con una configuración de acceso de un nivel, las aplicaciones sin firmar se ejecutan con acceso "con privilegios" o están bloqueadas y simplemente no se pueden ejecutar. Una configuración de acceso de dos niveles ejecutará las aplicaciones sin firmar en el nivel normal si la directiva se comprueba correctamente o si el usuario permite que la aplicación se ejecute. En función de la configuración de dispositivo, se puede solicitar al usuario si se debe ejecutar una aplicación sin firmar.

Los certificados digitales, una de las formas comúnmente más usadas de autenticación personal, de dispositivo y de aplicación, son un componente fundamental en la seguridad de Windows Mobile en los niveles de dispositivo, servidor y red. El sistema operativo Windows Mobile almacena varios tipos de certificados en diferentes almacenes de certificados en el dispositivo. Con respecto a las aplicaciones, los certificados determinan cuáles se pueden instalar y ejecutar. Para que una aplicación se ejecute en un dispositivo Windows Mobile sin solicitud al usuario, se debe firmar con un certificado que demuestre que fue aceptada por el programa Mobile2Mobile de Microsoft. Los niveles de permisos se conceden a las aplicaciones en función de los certificados asociados a ellas.

Para la autenticación de red, cada dispositivo móvil incluye varios certificados de raíz comerciales y de confianza emitidos por una entidad de certificación (CA), tal como se muestra en la figura 5. El servidor de mensajería (por ejemplo, Exchange Server) comprueba la autenticidad de un certificado raíz del dispositivo antes de establecer una conexión SSL con dicho dispositivo. Si la compañía usa certificados personalizados, quizás pueda instalarlos en los dispositivos Windows Mobile adquiridos, o es posible que sea necesario crear nuevos certificados. En este artículo, trataré el tema en detalle en la sección Seguridad de red.

Figura 5** Administración de certificados digitales **

ActiveSync e Internet Explorer® Mobile pueden usar SSL para ayudar a proteger la transmisión de datos entre el dispositivo y un servidor web corporativo. Esto es cierto mientras exista una conexión para sincronizar datos de Microsoft Exchange, configurar el dispositivo o descargar aplicaciones. SSL cifra el canal de comunicación con cifrados RC4 o 3DES de 128 bits para que los datos no puedan ser leídos externamente. Windows Mobile también es compatible con VPN, que usa cifrado de paquetes para ofrecer seguridad semejante a la de una línea dedicada mientras tiene acceso a un servidor a través de Internet.

Seguridad de Exchange Server

Aunque los dispositivos Windows Mobile no necesitan Exchange Server para funcionar, ambos sistemas están diseñados para colaborar juntos y presentan una solución sólida de mensajería móvil y de productividad de un extremo a otro. Desde el lanzamiento de Windows Mobile 5.0 con MSFP, ActiveSync se ha mejorado para permitir la administración remota de la configuración de dispositivos Windows Mobile. Ofrece medios sencillos pero eficaces para propagar y aplicar la configuración de seguridad global en la mayoría de los dispositivos Windows Mobile.

ActiveSync se ejecuta en IIS, el componente de aplicación y servidor web de Microsoft Windows Server 2003. IIS ofrece seguridad integrada que ayuda a proteger al mismo ActiveSync de los ataques que llegan a través de la red. Dado que Microsoft Office Outlook® Web Access (OWA) también se basa en IIS, puede usar los mismos certificados de seguridad tanto para ActiveSync como para OWA.

Cuando ActiveSync se usa para propagar una directiva de empresa, se entrega a los dispositivos la próxima vez que se sincronizan con Exchange Server. Los usuarios deben aceptar los cambios o no se les permitirá conectarse al servidor. Muchas redes tratan con una gran variedad de dispositivos, incluido hardware heredado que no acepta directivas de seguridad sofisticadas. Si fuera necesario, puede excluir ciertos dispositivos, tales como hardware heredado, del requisito de directiva de seguridad para que puedan conectarse.

Exchange Server 2003 SP2 y Exchange Server 2007 tienen capacidades de control de directivas de seguridad algo diferentes. Exchange Server 2003 SP2 se puede usar para especificar una longitud mínima de contraseña de 4 a 18 caracteres, requerir tanto números como letras en una contraseña y establecer cuánto tiempo debe durar el período de inactividad que se permite entre bloqueos de dispositivo. Esta versión de Exchange Server también puede establecer con qué frecuencia se aplica la configuración de seguridad en los dispositivos, así como permitir las exenciones anteriormente mencionadas para dispositivos heredados.

Con el lanzamiento de Exchange Server 2007, las capacidades de administración de dispositivos móviles ActiveSync se han mejorado para incluir todas las capacidades de Exchange Server 2003 SP2, más las siguientes:

• Permitir o no permitir contraseñas sencillas (tales como "1234" o "1111")
• Habilitar o deshabilitar descargas de datos adjuntos
• Requerir cifrado de la tarjeta de almacenamiento
• Establecer el tamaño máximo de datos adjuntos
• Permitir que el usuario pueda recuperar una contraseña de dispositivo mediante OWA
• Habilitar el acceso a la convención de nomenclatura universal (UNC) y a los archivos de Microsoft Windows Sharepoint® Services (WSS)

Con Exchange Server 2007, los profesionales de TI tienen la flexibilidad de adaptar las directivas a cada usuario o dispositivo, administrar las directivas para grupos de usuarios, así como excluir enteramente a usuarios específicos de las directivas de seguridad.

Barrido de acceso remoto

Además del barrido del dispositivo local mencionado anteriormente, puede barrer un dispositivo Windows Mobile de forma remota mediante Exchange Server 2003 SP2, Exchange Server 2007 o OWA. Los barridos remotos, que se produce durante la sincronización, se pueden realizar incluso si no usa las directivas de seguridad de ActiveSync. Un restablecimiento completo de barrido remoto no se puede detener desde el dispositivo. Los datos, la configuración y las claves de seguridad se sobrescriben con ceros repetidos, lo que hace muy difícil la recuperación de cualquier dato que no sea parte del sistema operativo principal.

Seguridad de red

La seguridad de red es precisamente tan importante para la seguridad móvil como el dispositivo y los componentes del servidor de mensajería. También es la parte de la infraestructura móvil que se encuentra más claramente bajo su control. Incluso si uno o más dispositivos móviles se ven comprometidos, configurar la red corporativa según las recomendaciones e implementar los protocolos de seguridad correctos puede ayudar a evitar el daño en la red.

Windows Mobile funciona adecuadamente con varios tipos de red. Mediante protocolos de seguridad estándar de Internet y firewalls, puede diseñar una solución que se adapte a sus necesidades de rendimiento, estabilidad y seguridad.

Cuando los servidores de mensajería se mantienen dentro de la red corporativa, se pueden proteger mediante un firewall de perímetro que actúa como un búfer entre Internet y los servidores corporativos. Microsoft Internet Security and Acceleration (ISA) Server 2004 o ISA Server 2006 tienen características diseñadas especialmente para este propósito, inspeccionan todos los paquetes entrantes para determinar su identidad antes de pasarlos a los servidores Microsoft Exchange y, a continuación, vuelven a enviar al cliente información saliente a través de Internet.

La configuración de ISA Server requiere que la habilitación del cifrado SSL y la designación del puerto 443 como puerto de escucha web SSL para tráfico de Exchange Server. Esto minimiza la exposición a Internet limitándolo a un solo puerto. Además, se debe requerir que todos los clientes establezcan un vínculo SSL antes de conectarse mediante ActiveSync.

ISA Server puede realizar una autenticación previa de usuarios de aplicaciones web como OWA para ayudar a impedir que los usuarios no autenticados alcancen los servidores de aplicaciones. ISA Server 2006 mejora el modelo de puente SSL de ISA Server 2004 actuando como punto de terminación SSL para dispositivos Windows Mobile. Esto permite a dispositivos Windows Mobile autenticar con el servidor Microsoft Exchange, sin establecer una conexión directa con él, dependiendo en cambio de ISA Server 2006 para pasar tráfico de aquí para allá. Y dado que la ubicación recomendada de ISA Server 2006 está en la red del perímetro, se permite así un nivel adicional de seguridad entre la nube pública de Internet y el front-end de Exchange Server.

Autenticación

Existen dos opciones básicas de autenticación para entre las que se puede elegir: básica y basada en certificados. Básica se refiere a una conexión estándar habilitada mediante nombre y contraseña, basada en SSL, entre un cliente de Windows Mobile y el servidor Exchange front-end. Aún requiere un certificado porque Exchange Server busca un certificado raíz coincidente en el dispositivo antes de autenticar. Windows Mobile e IIS le permiten usar la amplia gama de metodologías de cifrado asociadas con SSL.

La autenticación basada en certificados, disponible tanto en Windows Mobile 5.0 con MSFP como en Windows Mobile 6, usa seguridad del nivel de transporte (TLS) en lugar de autenticación básica SSL. Además del certificado raíz, TLS requiere que cada usuario tenga un certificado con claves pública y privada. Debido a que TLS usa una clave de cifrado (de hasta 2.048 bits) en lugar de una contraseña, este protocolo ofrece la autenticación más sólida.

Con Windows Mobile 6, para inscribir un certificado de usuario mediante Desktop Enroll se necesita acoplar el dispositivo con un escritorio que se encuentre en el mismo dominio que el servidor de inscripción de certificados. El usuario autentica la inscripción mediante una contraseña, tarjeta inteligente u otro método y, a continuación, conecta el dispositivo a su PC de escritorio. El usuario obtiene acceso al sistema de certificado a través del escritorio que, a su vez, instala el certificado en el dispositivo móvil. Desktop Enroll puede servir para varios propósitos de seguridad de Windows Mobile, incluidos la renovación del certificado, así como la distribución de certificados de autenticación de ActiveSync, certificados de autenticación SSL/TLS, certificados de Wi-Fi 802.1x o certificados de firma digital de S/MIME.

Los protocolos de seguridad tales como SSL protegen los datos de mensajes mientras se encuentran en tránsito, pero no los cifra una vez que se encuentran en el dispositivo Windows Mobile o en el servidor Microsoft Exchange. S/MIME es una forma segura del conocido estándar MIME de correo electrónico que es compatible con correo electrónico firmado digitalmente y/o cifrado. Ofrece un nivel adicional de protección más allá del cifrado del nivel de transporte SSL.

Conclusión

Se debe prestar atención a cada uno de los tantos niveles que componen una solución para crear una infraestructura que sea suficientemente segura. Windows Mobile, Exchange Server y los productos de Microsoft para seguridad de red, tal como ISA Server, funcionan en conjunto para despejar muchas dificultades de la administración de la infraestructura móvil. Ayudan a aliviar una parte de la carga de los departamentos de TI, al desplazar la atención lejos de los desafíos de seguridad creados por los dispositivos móviles, para que se centren en los aumentos de productividad que habilitan.

Agradecimientos especiales a Kathy Esser, Katharine Holdsworth, Sarah Norton y Chip Vollers por su ayuda en la creación de este artículo.

Matt Fontaine es escritor de tecnología para BuzzBee Company.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.