Seguridad en UMTS

Transcript

1. SEGURIDAD EN UMTS Análisis de seguridad a nivel móvil Las

   redes moviles analogicas (1G) no incluian demasiadas características con la seguridad. En GSM la seguridad se encuentra en el trayecto de radio (en las redes de acceso) UMTS abarca más aspectos UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

2. SEGURIDAD EN UMTS Es necesario proteger la seguridad de la

   conexión de la red de acceso..pero es necesario tener en cuenta otros puntos. En UMTS con las integraciones de servicios IP del cual siempre se ha prestado atención a la seguridad y se han desarrollado mecanismos de defensa. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

3. SEGURIDAD ACCESO EN UMTS La tecnología de acceso a radio

   cambio de TDMA por WCDMA cuando se introdujo 3G Algunos aspectos de seguridad siguen igual: en UMTS seguirá siendo necesaria la autenticación de los usuarios finales del sistema La confiabilidad de las llamadas de voz se protege con RAN (Red de acceso aleatorio) del mismo modo que se protegen los datos transmitidos. (esto significa que el usuario controla con quien quiere comunicarse) UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

4. SEGURIDAD ACCESO EN UMTS También el usuario quiere saber que

   su confidencialidad está realmente protegida. Privacidad de la ubicación del usuario. Privacidad de transmisión de datos del usuario Disponibilidad del acceso de UMTS (el cliente paga por sus servicios) UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

5. SEGURIDAD ACCESO EN UMTS Criptografía Herramienta de seguridad más importante

   para los operadores de red y los abonados Es el mecanismo más efectivo para proteger las comunicaciones de actos malintencionados UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

6. SEGURIDAD ACCESO EN UMTS Herencia de la 2G Características relevantes

   de seguridad en GSM: La autenticación del usuario El cifrado de las comunicaciones de la interfaz radio El uso de las identidades temporales UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

7. SEGURIDAD ACCESO EN UMTS Algunas vulnerabilidades de seguridad en GSM

   Son posibles ataques activos contra la red: cualquiera que disponga del equipo necesario para hacerse pasar por un elemento de red o un terminal de usuario legitimo Se envían datos de control confidenciales ( por ejemplo, claves utilizadas para el cifrado de la interfaz radio)sin cifrar entre diferentes redes UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

8. SEGURIDAD ACCESO EN UMTS Algunas vulnerabilidades de seguridad en GSM

   algunas partes de la arquitectura de seguridad se mantienen en secreto (por ejemplo, los algoritmos de cifrado) eso despierta desconfianza porque no están disponibles públicamente para que puedan ser analizados con otros métodos UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

9. SEGURIDAD ACCESO EN UMTS Algunas vulnerabilidades de seguridad en GSM

   Las claves para cifrar la interfaz radio terminan siendo vulnerables a ataques masivos de fuerza bruta UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

10. SEGURIDAD ACCESO EN UMTS En UMTS se consideró fundamental para

    el diseño de la arquitectura el desarrollo de medidas preventivas para las debilidades de GSM UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

11. SEGURIDAD ACCESO EN UMTS Características de acceso destacadas en 3G

    Autenticación mutua entre el usuario y la red Uso de identidades temporales Cifrado de la RAN Protección de la identidad de señalización en el interior de UTRAN UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

12. AUTENTICACIÓN MUTUA Los mecanismos de autenticación del sistema UMTS intervienen

    tres entidades. La red Base La red servidora (SN) El terminal o Módulo de Identidad del Abonado Universal (USIM) UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

13. AUTENTICACIÓN MUTUA La SN comprueba la identidad del abonado (como

    en GSM) técnica conocida como desafío y respuesta, mientras el terminal comprueba si la SN tiene autorización de la red de base para hacerlo. Esta última parte es nueva en UMTS con respecto a GSM Con esto se comprueba si el terminal esta conectado a una red legítima. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

14. AUTENTICACIÓN MUTUA El mecanismo de autenticación utiliza una clave maestra

    k que comparten el USIM el usuario y la base de datos de la red base Es una clave permanente secreta de 128 bits de long la clave K nunca se hace visible entre dos ubicaciones, ni siquiera el usuario conoce su clave maestra. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

15. IDENTIDADES TEMPORALES La identidad permanente del usuario en UMTS es

    IMSI igual que GSM. La identificación en UTRAM se realiza en todos los casos mediante identidades temporales Esto supone que la confidencialidad de la identidad del usuario esta en todo momento protegida. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

16. IDENTIDADES TEMPORALES Funcionamiento El usuario se identifica en la SN

    mediante el número IMSI La SN (VLR o SGSN) asigna una identidad temporal (TMSI p P-TMSI) para el usuario y mantiene la asociación entre la identidad permanente y la temporal La identidad temporal asignada se transfiere al usuario una vez activado el proceso de encriptación. Esta entidad se emplea en la señalización ascendente y descendente hasta que la red asigne un nuevo TMSI o P- TMSI UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

17. MECANISMO CIFRADO EN UTRAN Se fundamenta en el concepto de

    cifrado de flujo . Esto significa que los datos de texto no cifrado se añaden bit por bit a unos datos de máscara de apariencia aleatoria, generados a partir de la CK El descifrado se realiza en la parte que recibe el mensaje se realiza exactamente del mismo modo. El cifrado se realiza en la capa de Control de Acceso al Medio (MAC) y en la capa de Control de Radioenlace(RLC) En ambos casos, existe un contador que cambia con cada PDU UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

18. CARACTERÍSTICAS DE SEGURIDAD ADICIONALES DE 3GPP V99 Indicador de cifrado

    Identificación del UE Seguridad para los servicios de localización Autenticación usuario - USIM Seguridad en el kit de Herramientas de aplicaciones del USIM UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

19. CARACTERÍSTICAS DE SEGURIDAD ADICIONALES DE 3GPP V99 Indicador de cifrado

    Existe un indicador de cifrado específico en el ME para señalar si el usuario esta usando cifrado. En general es importante que el nivel de seguridad no dependa de si el usuario realiza directamente comprobaciones activas. sin embargo, para algunas acciones concretas, es probable que los usuarios agradezcan la visibilidad de las características activas. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

20. CARACTERÍSTICAS DE SEGURIDAD ADICIONALES DE 3GPP V99 Identificación del UE

    En el sistema GSM el EM se puede reconocer mediante su IMEI. El IMEI no esta directamente asociada al usuario. Pero existen características importantes que se asocia con el IMEI. Aún no existe ningún mecanismo ni en GSM ni en UMTS que autentiquen el IMEI Por esa razón los métodos de seguridad actúan sólo del lado extremo del terminal UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

21. CARACTERÍSTICAS DE SEGURIDAD ADICIONALES DE 3GPP V99 Seguridad para los

    servicios de localización La información de localización del usuario es información confidencial. Se han definido mecanismos de seguridad que evitan que se filtre información de localización a entidades no autorizadas. El concepto de perfil de privacidad desempeña una función fundamental porque los usuarios tienen que tener control sobre quien conoce su paradero UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

22. CARACTERÍSTICAS DE SEGURIDAD ADICIONALES DE 3GPP V99 Autenticación usuario -

    USIM También heredada de GSM Se basa en un PIN que únicamente conocen los usuarios y el USIM El usuario tiene que introducir el PIN correcto (4 y 8 digitos) en el USIM para acceder al módulo. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

23. CARACTERÍSTICAS DE SEGURIDAD ADICIONALES DE 3GPP V99 Seguridad en el

    kit de Herramientas de aplicaciones del USIM Al igual como GSM, se pueden construir aplicaciones que se ejecuten en el USIM. El concepto hace referencia a los SVA de las prestaciones. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

24. ASPECTOS DE SEGURIDAD EN EL NIVEL DE SISTEMA Y DE

    RED Amenazas y mecanismos de protección Objetivo - Ofrecer confiabilidad y protección de la integridad para las comunicaciones establecidas entre los diferentes elementos de red. Estos elementos pueden pertenecer a la misma red o a dos redes diferentes. En la cadena tecnologica 3G intervienen 4 partes: abonado,proveedor de portadoras, proveedor de servicios y proveedor de contenido. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

25. ASPECTOS DE SEGURIDAD EN EL NIVEL DE SISTEMA Y DE

    RED Riesgos de seguridad en la cadena económica UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA PROVEEDOR DE CONTENIDOS PROVEEDOR DE SERVICIOS ABONADO PROVEEDOR DE PORTADORA TRANSFERENCIA DE DATOS - RIESGOS DE SEGURIDAD SEGURIDAD A NIVEL DE ACCESO TRANSFERENCIA DE DATOS - RIESGOS DE SEGURIDAD

26. ASPECTOS DE SEGURIDAD EN EL NIVEL DE SISTEMA Y DE

    RED ATAQUES MÁS FRECUENTES Muchas de las amenazas que sufren las comunicaciones entre los elementos de red UMTS son las mismas que se observan en la capa de aplicación. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

27. ASPECTOS DE SEGURIDAD EN EL NIVEL DE SISTEMA Y DE

    RED ATAQUES MÁS FRECUENTES Ejemplos de ataques: Ingeniería social La intercepción electrónica (fisgar) La suplantacion El rapto de sesiones La denegación de Servicio (DoS) UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

28. ASPECTOS DE SEGURIDAD EN EL NIVEL DE SISTEMA Y DE

    RED Las interceptaciones electrónicas (eavesdropping) sniffing - a través de soft se puede conseguir el ID del usuario y la contraseña UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

29. ASPECTOS DE SEGURIDAD EN EL NIVEL DE SISTEMA Y DE

    RED La suplantacion Luego de realizar un sniffing - la información recopilada, el pirata utiliza la dirección IP de otra persona y recibe paquetes de otros usuarios Arrebatamiento de sesiones de conexiones existentes, inclusive existen mecanismos de conexión sin protegerse contra los raptos de sesiones. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

30. ASPECTOS DE SEGURIDAD EN EL NIVEL DE SISTEMA Y DE

    RED DoS - Denegación de Servicios El pirata no pretende interceptar información, sino más bien causar daños Existen DoS muy avanzados A través del robo de direcciones IP, utilizando las de forma distribuida pueden realizar ataques a cientos de máquinas UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

31. SEGURIDAD IP PROTOCOLO IPSEC Estandarizado por IETF (Grupo Especial sobre

    Ingeniería de Internet) Principales componentes de IPSEC Cabecera de Autenticación (AH) Carga Útil de Encapsulamiento de Seguridad (ESP) Intercambio de Claves de Internet (IKE) UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

32. SEGURIDAD IP - Protocolo IPSEC Finalidad Proteger los paquetes IP

    y de eso se encargan ESP, AH o ambos ESP ofrece confidencialidad y proteccion de la integridad. AH únicamente protege la integridad UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

33. SEGURIDAD IP - Protocolo IPSEC Finalidad Tanto ESP, como AH

    necesitan claves, estas claves son esencial para el cifrado. Una SA (asociación de seguridad) además de las claves contiene información sobre el algoritmo utilizado, periodo de validez y un SQN para la protección contra ataques de retransmisión. La SA debe negociarse, una para cada direccion. La negociación tiene lugar en modo seguro mediante el protocolo IKE UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

34. SEGURIDAD IP - Protocolo IPSEC El protocolo IKE se basa

    en criptografía de clave publica Donde se intercambian claves secretas para comunicaciones seguras por un canal no seguro. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

35. SEGURIDAD IP - Protocolo IPSEC Componentes de ESP Existen dos

    tipos: Modo transporte y Modo túnel; Modo transporte Se cifra toda la información de los paquetes IP, con la excepción de la cabecera IP. Luego se añade una cabecera ESP entre la cabecera IP y la parte cifrada, en la que se incluye el ID y la SA en uso Por último se calcula un código de autenticación de mensajes (MAC) UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

36. SEGURIDAD IP - Protocolo IPSEC Modo tunel (VPN) A diferencia

    del transporte, añade una cabecera IP al principio del paquete (en resto de las operaciones son iguales) El modo transporte es el caso más sencillo de uso de ESP entre dos puntos. Pero cuando se aplica a las redes 3GPP se plantean dos problemas.Los elementos de la red tienen que: - Conocer la dirección IP de cada uno de ellos - Implementar todas las funcionalidades de IPSEC UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

37. SEGURIDAD IP - Protocolo IPSEC Carga util de Seguridad Encapsulada

    (ESP) Modo Transporte UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA IP HDR TCP HDR CARGA UTIL IP HDR CARGA UTIL ESP HDR TCP HDR Relleno MAC Cifrado Protección de la integridad

38. SEGURIDAD IP - Protocolo IPSEC UADER FCYT REDES Y SERVICIOS

    MÓVILES LIC.ERNESTO LEDESMA IP HDR TCP HDR CARGA UTIL IP HDR CARGA UTIL ESP HDR TCP HDR Relleno MAC Cifrado Protección de la integridad Carga útil de Seguridad Encapsulada (ESP) Modo Túnel IP HDR

39. SEGURIDAD IP - Protocolo MAPSec Existen tres modos protecciones Modo

    2 - se protegen la confidencialidad y la integridad Modo 1 - Solo integridad Modo 0 - No se aplica ninguna protección UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

40. SEGURIDAD IP - Protocolo MAPSec Operaciones Se cifra un mensaje

    MAP de texto no cifrado y se coloca el resultado en un contenedor dentro de otro MAP Al mismo tiempo, se incluyen en un nuevo mensaje MAP una suma de control criptográfica (es decir un MAC) que cubre el mensaje original MACSec ha copiado el concepto de claves de IPSec agrego: - períodos de validez de las claves - Identificadores de algoritmos UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

41. PROTECCIÓN DE APLICACIONES Y SERVICIOS La seguridad de la red

    se implementa de acuerdo con el modelo OSI. Cada capa OSI cuenta con sus propios medios de protección de seguridad. La protección de seguridad se puede dividir en dos ramas. Seguridad enlace a enlace Seguridad extremo extremo UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

42. PROTECCIÓN DE APLICACIONES Y SERVICIOS Protección enlace a enlace una

    conexión (un trayecto) está compuesto por enlaces. Todo el tráfico que pasa por un enlace se protege (por encriptación) Esta operación se realiza en todos los enlaces de un trayecto Toda la conexión estará protegida. Inconvenientes Si se equivoca el trayecto del tráfico, el contenido del enlace quedará expuesto y la aplicación de medidas de seguridad no siempre es visible para el usuario UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

43. PROTECCIÓN DE APLICACIONES Y SERVICIOS Protección extremo a extremo Este

    mecanismo de seguridad se suele encontrar en modelo OSI. Los datos continúan protegidos (cifrados) hasta que llegan a su destino. Pero este mecanismo tiene fallos Es conveniente para que la seguridad sea absoluta, cobinar ambos. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

44. PROTECCIÓN DE APLICACIONES Y SERVICIOS En redes celulares La autenticación

    de la capa de enlace es necesaria para controlar el acceso a la red celular. En las redes 3G, los procedimientos de seguridad en el nivel de acceso se ocupan del cifrado en el nivel del enlace y de la protección de la integridad en la red de acceso En la CN y en las conexiones hacia otras redes se pueden emplear varios métodos. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA

45. PROTECCIÓN DE APLICACIONES Y SERVICIOS Protocolos de seguridad en diferentes

    capas OSI UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA APLICACIÓN PRESENTACIÓN SESION TRANSPORTE RED ENLACE CAPA FÍSICA S-MIME PGP SET SSL SOCKS RADIUS IPsec

46. PROTECCIÓN DE APLICACIONES Y SERVICIOS Seguridad IMS en redes UMTS

    UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA