redes moviles analogicas (1G) no incluian demasiadas características con la seguridad. En GSM la seguridad se encuentra en el trayecto de radio (en las redes de acceso) UMTS abarca más aspectos UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
conexión de la red de acceso..pero es necesario tener en cuenta otros puntos. En UMTS con las integraciones de servicios IP del cual siempre se ha prestado atención a la seguridad y se han desarrollado mecanismos de defensa. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
cambio de TDMA por WCDMA cuando se introdujo 3G Algunos aspectos de seguridad siguen igual: en UMTS seguirá siendo necesaria la autenticación de los usuarios finales del sistema La confiabilidad de las llamadas de voz se protege con RAN (Red de acceso aleatorio) del mismo modo que se protegen los datos transmitidos. (esto significa que el usuario controla con quien quiere comunicarse) UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
su confidencialidad está realmente protegida. Privacidad de la ubicación del usuario. Privacidad de transmisión de datos del usuario Disponibilidad del acceso de UMTS (el cliente paga por sus servicios) UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
para los operadores de red y los abonados Es el mecanismo más efectivo para proteger las comunicaciones de actos malintencionados UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
de seguridad en GSM: La autenticación del usuario El cifrado de las comunicaciones de la interfaz radio El uso de las identidades temporales UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
Son posibles ataques activos contra la red: cualquiera que disponga del equipo necesario para hacerse pasar por un elemento de red o un terminal de usuario legitimo Se envían datos de control confidenciales ( por ejemplo, claves utilizadas para el cifrado de la interfaz radio)sin cifrar entre diferentes redes UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
algunas partes de la arquitectura de seguridad se mantienen en secreto (por ejemplo, los algoritmos de cifrado) eso despierta desconfianza porque no están disponibles públicamente para que puedan ser analizados con otros métodos UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
Las claves para cifrar la interfaz radio terminan siendo vulnerables a ataques masivos de fuerza bruta UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
Autenticación mutua entre el usuario y la red Uso de identidades temporales Cifrado de la RAN Protección de la identidad de señalización en el interior de UTRAN UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
tres entidades. La red Base La red servidora (SN) El terminal o Módulo de Identidad del Abonado Universal (USIM) UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
en GSM) técnica conocida como desafío y respuesta, mientras el terminal comprueba si la SN tiene autorización de la red de base para hacerlo. Esta última parte es nueva en UMTS con respecto a GSM Con esto se comprueba si el terminal esta conectado a una red legítima. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
k que comparten el USIM el usuario y la base de datos de la red base Es una clave permanente secreta de 128 bits de long la clave K nunca se hace visible entre dos ubicaciones, ni siquiera el usuario conoce su clave maestra. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
IMSI igual que GSM. La identificación en UTRAM se realiza en todos los casos mediante identidades temporales Esto supone que la confidencialidad de la identidad del usuario esta en todo momento protegida. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
mediante el número IMSI La SN (VLR o SGSN) asigna una identidad temporal (TMSI p P-TMSI) para el usuario y mantiene la asociación entre la identidad permanente y la temporal La identidad temporal asignada se transfiere al usuario una vez activado el proceso de encriptación. Esta entidad se emplea en la señalización ascendente y descendente hasta que la red asigne un nuevo TMSI o P- TMSI UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
cifrado de flujo . Esto significa que los datos de texto no cifrado se añaden bit por bit a unos datos de máscara de apariencia aleatoria, generados a partir de la CK El descifrado se realiza en la parte que recibe el mensaje se realiza exactamente del mismo modo. El cifrado se realiza en la capa de Control de Acceso al Medio (MAC) y en la capa de Control de Radioenlace(RLC) En ambos casos, existe un contador que cambia con cada PDU UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
Identificación del UE Seguridad para los servicios de localización Autenticación usuario - USIM Seguridad en el kit de Herramientas de aplicaciones del USIM UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
Existe un indicador de cifrado específico en el ME para señalar si el usuario esta usando cifrado. En general es importante que el nivel de seguridad no dependa de si el usuario realiza directamente comprobaciones activas. sin embargo, para algunas acciones concretas, es probable que los usuarios agradezcan la visibilidad de las características activas. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
En el sistema GSM el EM se puede reconocer mediante su IMEI. El IMEI no esta directamente asociada al usuario. Pero existen características importantes que se asocia con el IMEI. Aún no existe ningún mecanismo ni en GSM ni en UMTS que autentiquen el IMEI Por esa razón los métodos de seguridad actúan sólo del lado extremo del terminal UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
servicios de localización La información de localización del usuario es información confidencial. Se han definido mecanismos de seguridad que evitan que se filtre información de localización a entidades no autorizadas. El concepto de perfil de privacidad desempeña una función fundamental porque los usuarios tienen que tener control sobre quien conoce su paradero UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
USIM También heredada de GSM Se basa en un PIN que únicamente conocen los usuarios y el USIM El usuario tiene que introducir el PIN correcto (4 y 8 digitos) en el USIM para acceder al módulo. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
kit de Herramientas de aplicaciones del USIM Al igual como GSM, se pueden construir aplicaciones que se ejecuten en el USIM. El concepto hace referencia a los SVA de las prestaciones. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
RED Amenazas y mecanismos de protección Objetivo - Ofrecer confiabilidad y protección de la integridad para las comunicaciones establecidas entre los diferentes elementos de red. Estos elementos pueden pertenecer a la misma red o a dos redes diferentes. En la cadena tecnologica 3G intervienen 4 partes: abonado,proveedor de portadoras, proveedor de servicios y proveedor de contenido. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
RED Riesgos de seguridad en la cadena económica UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA PROVEEDOR DE CONTENIDOS PROVEEDOR DE SERVICIOS ABONADO PROVEEDOR DE PORTADORA TRANSFERENCIA DE DATOS - RIESGOS DE SEGURIDAD SEGURIDAD A NIVEL DE ACCESO TRANSFERENCIA DE DATOS - RIESGOS DE SEGURIDAD
RED ATAQUES MÁS FRECUENTES Muchas de las amenazas que sufren las comunicaciones entre los elementos de red UMTS son las mismas que se observan en la capa de aplicación. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
RED ATAQUES MÁS FRECUENTES Ejemplos de ataques: Ingeniería social La intercepción electrónica (fisgar) La suplantacion El rapto de sesiones La denegación de Servicio (DoS) UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
RED Las interceptaciones electrónicas (eavesdropping) sniffing - a través de soft se puede conseguir el ID del usuario y la contraseña UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
RED La suplantacion Luego de realizar un sniffing - la información recopilada, el pirata utiliza la dirección IP de otra persona y recibe paquetes de otros usuarios Arrebatamiento de sesiones de conexiones existentes, inclusive existen mecanismos de conexión sin protegerse contra los raptos de sesiones. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
RED DoS - Denegación de Servicios El pirata no pretende interceptar información, sino más bien causar daños Existen DoS muy avanzados A través del robo de direcciones IP, utilizando las de forma distribuida pueden realizar ataques a cientos de máquinas UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
Ingeniería de Internet) Principales componentes de IPSEC Cabecera de Autenticación (AH) Carga Útil de Encapsulamiento de Seguridad (ESP) Intercambio de Claves de Internet (IKE) UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
y de eso se encargan ESP, AH o ambos ESP ofrece confidencialidad y proteccion de la integridad. AH únicamente protege la integridad UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
necesitan claves, estas claves son esencial para el cifrado. Una SA (asociación de seguridad) además de las claves contiene información sobre el algoritmo utilizado, periodo de validez y un SQN para la protección contra ataques de retransmisión. La SA debe negociarse, una para cada direccion. La negociación tiene lugar en modo seguro mediante el protocolo IKE UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
en criptografía de clave publica Donde se intercambian claves secretas para comunicaciones seguras por un canal no seguro. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
tipos: Modo transporte y Modo túnel; Modo transporte Se cifra toda la información de los paquetes IP, con la excepción de la cabecera IP. Luego se añade una cabecera ESP entre la cabecera IP y la parte cifrada, en la que se incluye el ID y la SA en uso Por último se calcula un código de autenticación de mensajes (MAC) UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
del transporte, añade una cabecera IP al principio del paquete (en resto de las operaciones son iguales) El modo transporte es el caso más sencillo de uso de ESP entre dos puntos. Pero cuando se aplica a las redes 3GPP se plantean dos problemas.Los elementos de la red tienen que: - Conocer la dirección IP de cada uno de ellos - Implementar todas las funcionalidades de IPSEC UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
(ESP) Modo Transporte UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA IP HDR TCP HDR CARGA UTIL IP HDR CARGA UTIL ESP HDR TCP HDR Relleno MAC Cifrado Protección de la integridad
MÓVILES LIC.ERNESTO LEDESMA IP HDR TCP HDR CARGA UTIL IP HDR CARGA UTIL ESP HDR TCP HDR Relleno MAC Cifrado Protección de la integridad Carga útil de Seguridad Encapsulada (ESP) Modo Túnel IP HDR
2 - se protegen la confidencialidad y la integridad Modo 1 - Solo integridad Modo 0 - No se aplica ninguna protección UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
MAP de texto no cifrado y se coloca el resultado en un contenedor dentro de otro MAP Al mismo tiempo, se incluyen en un nuevo mensaje MAP una suma de control criptográfica (es decir un MAC) que cubre el mensaje original MACSec ha copiado el concepto de claves de IPSec agrego: - períodos de validez de las claves - Identificadores de algoritmos UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
se implementa de acuerdo con el modelo OSI. Cada capa OSI cuenta con sus propios medios de protección de seguridad. La protección de seguridad se puede dividir en dos ramas. Seguridad enlace a enlace Seguridad extremo extremo UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
conexión (un trayecto) está compuesto por enlaces. Todo el tráfico que pasa por un enlace se protege (por encriptación) Esta operación se realiza en todos los enlaces de un trayecto Toda la conexión estará protegida. Inconvenientes Si se equivoca el trayecto del tráfico, el contenido del enlace quedará expuesto y la aplicación de medidas de seguridad no siempre es visible para el usuario UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
mecanismo de seguridad se suele encontrar en modelo OSI. Los datos continúan protegidos (cifrados) hasta que llegan a su destino. Pero este mecanismo tiene fallos Es conveniente para que la seguridad sea absoluta, cobinar ambos. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA
de la capa de enlace es necesaria para controlar el acceso a la red celular. En las redes 3G, los procedimientos de seguridad en el nivel de acceso se ocupan del cifrado en el nivel del enlace y de la protección de la integridad en la red de acceso En la CN y en las conexiones hacia otras redes se pueden emplear varios métodos. UADER FCYT REDES Y SERVICIOS MÓVILES LIC.ERNESTO LEDESMA