Ultimo aggiornamento: 06.06.2010

Sicurezza

Architettura di sicurezza Windows Mobile





Introduzione


Questa pagina si occupa dell’utilizzo sicuro di telefoni cellulari, in particolar modo con il sistema operativo Windows Mobile. La sicurezza per i telefoni cellulari è spesso ignorata (volutamente o no) a favore della semplicità d’uso. Questa pagina elenca i potenziali rischi per i telefoni cellulari e alcune soluzioni possibili per migliorare la sicurezza del dispositivo stesso, durante la connessione e l’autenticazione al server Microsoft Exchange.

L’architettura di sicurezza di Windows Mobile deve proteggere i dati dai rischi seguenti:

  • Accesso ai dati dopo furto o perdita del telefono cellulare

  • Accesso ai dati durante la trasmissione

  • Accesso non autorizzato alla rete aziendale

  • Accesso non autorizzato al telefono cellulare

  • Corruzione del telefono cellulare

  • Virus e simili sul telefono cellulare


L’immagine mostra la visione generale dell’architetura di sicurezza:

Immagine copyright Microsoft.




Soluzioni per combattere il rischio di accesso ai dati dopo furto o perdita del telefono cellulare:

Caratteristica di sicurezza Windows Mobile 5.0 Windows Mobile 5.0 con MSFP Windows Mobile 6.0
Criteri password avanzati x x x
Protezione dispositivo richiede il PIN all’avvio x x x
Cancellazione locale (local wipe) dopo tentativi di accesso falliti x x
Cancellazione remota (remote wipe) aumenta la sicurezza x x
Back-off dopo immissione PIN errato x x x
Cancellazione locale (local wipe) per la scheda di memoria x
Cancellazione remota (remote wipe) per la scheda di memoria x
Crittografia per la scheda di memoria x
Autenticazione con prodotti di terze parti LAS e LAP x x x
Criteri password x x



Soluzioni per combattere il rischio di accesso ai dati durante la trasmissione:

Caratteristica di sicurezza Windows Mobile 5.0 Windows Mobile 5.0 con MSFP Windows Mobile 6.0
Crittografia SSL tra telefono cellulare e Microsoft Exchange x x x
Crittografia SSL AES 128 e 256 bit x
Porta di comunicazione standard (SSL 443) per comunicazioni attraverso firewall x x x
Supporto per IRM x
Certificazione FIPS 140-2 x x x



Soluzioni per combattere il rischio di accesso non autorizzato alla rete aziendale:

Caratteristica di sicurezza Windows Mobile 5.0 Windows Mobile 5.0 con MSFP Windows Mobile 6.0
Autenticazione flessibile per client: SSL TLS, Exchange ActiveSync, certificati, RSA SecurID x x x
L’utente può installare certificati radice x



Soluzioni per combattere il rischio di accesso non autorizzato al telefono cellulare:

Caratteristica di sicurezza Windows Mobile 5.0 Windows Mobile 5.0 con MSFP Windows Mobile 6.0
Criteri di sicurezza per l’accesso via aria (over-the-air) x x x
Possibilità di bloccare la modalità di ricerca Bluetooth (discovery mode) x



Soluzioni per combattere il rischio di corruzione del telefono cellulare:

Caratteristica di sicurezza Windows Mobile 5.0 Windows Mobile 5.0 con MSFP Windows Mobile 6.0
Criteri di sicurezza verificano gli allegati, i file e le applicazioni x x x
Il download degli allegati può essere configurato secondo le dimensioni o bloccato x



Soluzioni per combattere il rischio di virus e simili sul telefono cellulare:

Caratteristica di sicurezza Windows Mobile 5.0 Windows Mobile 5.0 con MSFP Windows Mobile 6.0
Le applicazioni Office Mobile non supportano le macro x x x
La funzionalità Code Execution Control avvia solo le applicazioni firmate digitalmente x x x



Considerazioni generali


La maggior parte delle aziende utilizzano telefoni mobili con ActiveSync su connessioni HTTP/HTTPS e l’autenticazione tramite nome utente/parola d’ordine. In questo caso è importante l’utilizzo del protocollo SSL (HTTPS) per proteggere i dati di accesso. In caso contrario, nome utente e parola d’ordine sono trasferiti non crittografati attraverso internet.

Il protocollo SSL non protegge però i dati di accesso salvati sul dispositivo. Windows Mobile 5.0 MSFP e le versioni successive supportano l’utilizzo di certificati per l’autenticazione al server Exchange. Questa opzione è disponibile già da Exchange Server 2003 SP2. Il certificato per l’autenticazione aumenta la sicurezza in quanto i dati di accesso non sono salvati sul dispositivo. Il certificato non è facilmente falsificabile e protegge dagli attacchi di software keylogger.

Molte aziende richiedono maggior sicurezza di una semplice parola d’ordine. La cosiddetta autenticazione a due fattori (two factor autentication) consente di utilizzare un metodo sicuro per l’accesso ai dati: l’utente non solo deve "sapere" il nome utente o la parola d’ordine, ma deve "possedere" un oggetto per effettuare correttamente l’accesso. Questa combinazione di "sapere" e "possedere" è possibile nei modi seguenti:

Token hardware o software

Un dispositivo hardware supplementare (token) può identificare in modo univoco il telefono cellulare dell’utente. Un esempio classico sono i token RSA che generano un codice ogni 20 secondi. Il codice deve essere immesso durante l’accesso ai dati. Il server RSA identifica l’utente tramite questo codice.

Certificato

Il certificato è installato sul dispositivo ed è difficilmente falsificabile. Il certificato identifica in modo univoco l’utente o il dispositivo mobile.

I due sistemi appena elencati protegono l’accesso ai dati. In caso di furto o perdita del telefono esiste la possibilità di cancellare il dispositivo direttamente da OWA o dalla console di Exchange.

In ogni caso, l’amministratore deve assicurasi che tutti i dispositivi siano compatibili con l’autenticazione tramite certificato e che la distribuzione dei certificati avvenga in modo sicuro e semplice.

Due motivi per l’utilizzo di certificati di autenticazione possono essere:

Maggior sicurezza

Un nome utente ed una parola d’ordine possono essere comunicati facilmente a terzi. Un certificato sul telefono cellulare non può essere copiato e consegnato a terzi (almeno in teoria, in pratica ogni sistema di sicurezza ha i suoi punti deboli). Il certificato è assegnato al dispositivo e richiede il PIN dell’utente.

Criteri password

Le aziende richiedono di solito il cambiamento regolare della parola d’ordine. L’utente deve cambiare la parola d’ordine salvata sul telefono cellulare. Se l’utente non esegue questa operazione, i tentativi di accesso errati bloccano il conto in Active Directory.

I certificati offrono quindi una maggior sicurezza e praticità d’uso. Non dimentichiamo però che l’autenticazione con i certificati non funziona con Outlook Anywhere (RPC/HTTP).


Requisiti


Questo capitolo elenca brevemente i requisiti per l’implementazione di certificati con Microsoft ActiveSync.

Sistema operativo

Exchange 2003: Windows 2000 Server SP4 o Windows Server 2003 SP1
Exchange 2007: tutti i sistemi operativi supportati da Exchange 2007
Exchange 2010: tutti i sistemi operativi supportati da Exchange 2010

Active Directory

L’autenticazione Kerberos (delega Kerberos) richiede Active Directory in modalità nativa 2003. La versione 2000 non è più supportata.

Exchange Server

Exchange Server 2003 SP2, Exchange 2007 o Exchange 2010.

Telefoni cellulari

Windows Mobile 5.0 MSFP o versioni successive.

Autorità di certificazione interna

Per l’emissione dei certificati da utilizzare con ActiveSync è necessario implementare un’autorità di certificazione interna con la relativa infrastruttura PKI.

ForeFront TMG / ISA Server

Un server ForeFront TMG (oppure ISA Server) non è necessariamente un requisito, ma semplifica la gestione ed aumenta la protezione del sistema. La pubblicazione di ActiveSync tramite un listener SSL con autenticazione per certificati richiede che il server TMG/ISA sia membro del dominio. Il server TMG/ISA autentica il client (telefono cellulare) tramite il certifiato e richiede poi l’accesso al server Exchange tramite la delega Kerberos (Kerberos Constraint Delegation).


Restrizioni


Purtroppo esistono anche alcune restrizioni più o meno importanti a seconda delle necessità.

Scelta del dispositivo mobile

La configurazione con i certificati funziona con Windows Mobile 5.0 MSFP, Windows Mobile 6.0 e Windows Mobile 6.5. Altri dispositivi devono essere testati prima dell’implementazione, in quanto non tutti i dispositivi supportano tutte le funzioni di sicurezza. Data l’enorme quantià di modelli disponibili sul mercato, è impossibile definire una lista di compatibilità.

Configurazione iniziale

La configurazione iniziale e la prima sincronozzazione deve avvenire con la connessione al computer aziendale (tramite ActiveSync o Centro gestione dispositivi Windows Mobile). Per motivi di sicurezza, l’autorità di certificazione non è raggiungibile direttamente sa internet.

Outlook Anywhere

Outlook Anywhere (connesione HTTP/RPC) non supporta l’autenticazione tramite certificati.

Due punti di acceso per due tipi di autenticazione

Internet Information Services e ForeFront TMG non supportano due tipi di autenticazione con un solo punto di accesso. Se l’azienda necessita l’accesso tramite certificati e l’accesso tramite nome utente/password deve disporre di due punti di accesso distinti con certificati SSL e nomi DNS univoci.

Condivisioni file di Exchange 2007 / 2010

Windows Mobile con l’autenticazione certificati non può accedere alle cartelle condivise di Exchange 2007 o Exchange 2010.

Cartelle pubbliche (public folders)

Indipendentemente dall’autenticazione, ActiveSync NON supporta la sincronizzazione delle cartelle pubbliche.


Installazione certificati su Windows Mobile


Windows Vista e Windows 7 utilizzano il programma Centro gestione dispositivi Windows Mobile per la connessione del telefono cellulare al computer. Questo programma è utilizzato anche per la richiesta automatica del certificato oppure l’installazione manuale (copia sul dispositivo) di file *.cer o *.pfx.




Certificati e Exchange 2010


Naturalmente con Exchange 2010 è possibile utilizzare certificati per effettuare l’autenticazione degli utenti. Il metodo funziona in modo leggermente diverso da Exchange 2003. Exchange 2003 utilizza un file *.xml per il processo di autodiscover, mentre Exchange 2007 e 2010 utilizzano PowerShell per la configurazione di autodiscover. Funziona però solamente con Windows Mobile 6.1 e versioni superiori.

NOTA: se utilizzi un server ISA/TMG per l’autenticazione con i certificati, il server ISA/TMG deve essere membro del dominio per poter utilizzare la funzione di delega Kerberos. Il server ISA/TMG autentica l’utente con il certificato e si autentica presso il server Exchange (ruolo CAS) tramite la delega Kerberos.

Prima di iniziare con la configurazione dei certificati è importante verificare che le funzionalità di base siano impostate correttamente e ActiveSync possa connettersi al server.

Il telefono cellulare può connettersi con il server

È possibile verificare la connessione con Pocket Internet Explorer. Verifica firewall, filtri porta, WLAN, ecc. in caso di problemi.

Configurazion SSL sul server

Assicurati che SSL sia attivato sul server. Senza SSL i dati trasmessi tra il telefono e il server non sono crittografati. Se utilizzi certificati SSL non ufficiali (emessi da un’autorità di certificazione interna) devi verificare se puoi installare il certificato radice sul telefono cellulare.

Sincronizzazione con nome utente e parola d’ordine

Verifica la connessione ActiveSync con nome utente e parola d’ordine. Eventualmente l’utente non è autorizzato per l’utilizzo di ActiveSync.

Criteri

I criteri (parole d’ordine) valgono anche per i dispositivi mobili.

Firewall e proxy

In caso di connessioni attraverso proxy o simili, è necessario configurare altre impostazioni e risolvere i problemi di connettività prima di procedere con la configurazione dei certificati.

Come precedentemente accennato, il processo di autodiscovery con Exchange 2007 e 2010 non utilizza più un file *.xml e VBScript per la configuazione in Active Directory, ma utilizza comandi PowerShell. Il processo di autodiscovery consente all’utente di indicare il proprio indirizzo e-mail sul telefono cellulare e ricevere direttamente le impostazioni dal server tramite SSL.

La configurazione è descritta in dettaglio nel capitolo Exchange Server ActiveSync - Autodiscover.

A questo punto è possibile configurare l’autenticazione con certificati per la cartella virtuale di ActiveSync come descritto nel capitolo Exchange Server ActiveSync - Autenticazione con certificati dei client.

Oltre all’autenticazione con i certificati client, puoi configurare i criteri della cassetta postale di ActiveSync. Per esempio, puoi impostare la richiesta di un codice PIN, dopo quanti tentativi il telefono verrà cancellato, la crittografia obbligatoria per il telefono e la scheda di memoria, ecc..

Nel capitolo Exchange Server ActiveSync - Criteri trovi alcune immagini che mostrano le opzioni diponibili.


Integrazione di EAS con il server ISA o TMG


Naturalmente è necessario proteggere il server Exchange da connessioni dirette da internet. Un semplice router NAT con filtro porte non è abbastanza per proteggere il traffico ActiveSync e OWA. Un server ISA/TMG o simile è importante, in quanto autentica la connessione prima che raggiunga il server Exchange e verifica che la richiesta sia valida.

Fino alla versione ISA Server 2004 era possibile pubblicare il server Exchange in modalità tunnel con regole di pubblicazione (publishing rules). In questo caso la protezione si riduce alla verifica dell’indirizzo URL (URL filtering).

Con ISA Server 2006 e ForeFront TMG è possibile utilizzare l’autenticazione con i certificati. Il server ISA/TMG autentica l’utente e richiede poi un ticket Kerberos (tramite la funzione Delega Kerberos) per autenticarsi al server Exchange.

La tabella seguente mostra i tipi di autenticazione per il server ISA/TMG e Exchange 2007/2010:

Metodo di autenticazione client configurato nel listener web ISA/TMG Modalità di validazione dell’autenticazione configurata nel listener web ISA/TMG Delega dell’autenticazione configurata nella regola di pubblicazione sul server ISA/TMG Modalità di accesso
HTML forms-based authentication
Autenticazione basata su formulari HTML 		Windows (Active Directory)
LDAP (Active Directory)
RADIUS 		Autenticazione di base
Autenticazione negoziabile (Kerberos/NTLM) 		Outlook Web Access
Outlook Anywhere
ActiveSync (solo autenticazione di base)
HTML forms-based Authentication
Autenticazione basata su formulari HTML 		RSA SecureID RSA SecureID Outlook Web Access
ActiveSync (richiede l’installazione dei componenti RSA SecurID sul server Exchane)
SSL client certificate authentication
Autenticazione con certificati client SSL 		Windows (Active Directory) Kerberos constrained delegation
(delega Kerberos) 		Outlook Web Access
ActiveSync



La configurazione è descritta in dettaglio nel capitolo ForeFront TMG - Autenticazione con certificati dei client.


Antivirus per Exchange


Se dovessero verificarsi problemi intermittenti, per esempio ActiveSync funziona solo ogni tanto oppure alcuni messaggi di posta elettronica non sono sincronizzati, potrebbe essere necessario aggiornare l’antivirus per Exchange. Verifica la documentazione o contatta il produttore per informazioni riguardo a ActiveSync e scansioni in background dell’antivirus.


Apple iPhone


Apple iPhone supporta i certificati radice e certificati SSL per l’autenticazione tramite certificati con un server ISA/TMG. I criteri di ActiveSync per la crittografia del telefono richiedono un Apple iPhone 3GS con la versione software 3.1. Tutti gli altri iPhone non supportano la crittografia locale. Fino alla versione 3.0 gli iPhone hanno ignorato questo criterio di ActiveSync.

Apple raccomanda di utilizzare un iPhone 3GS per l’accesso al server Exchange oppure disattivare questo criterio di ActiveSync.


Links


Tabella dei criteri di Windows Mobile
Certificazioni di crittografia e sicurezza di Windows Mobile
Domande frequenti sulla crittografia delle schede memoria con Windows Mobile
Criteri di sicurezza per Windows Mobile 5.0 e 6.0
Deploying Microsoft ActiveSync
Microsoft Exchange Server ActiveSync Certificate-Based Authentication Tool
Managing Exchange ActiveSync Devices
Microsoft Exchange Team Blog
iPhone OS 3.1: Policy Requirement error when adding Microsoft Exchange account


Free counter and web stats