iPad Para La Empresa

8/2/2019 iPad Para La Empresa

1/26

iPhone e iPad en la empresaEscenarios de implementacin

Octubre de 2011

Conoce cmo el iPhone y el iPad se integran perfectamente en los entornos

empresariales con estos escenarios de implementacin.

Microsoft Exchange ActiveSync

Servicios basados en estndares

Redes privadas virtuales

Wi-Fi

Certicados digitales

Descripcin de seguridad

Administracin de dispositivos mviles


2/26

Implementando iPhone e iPadExchange ActiveSync

iPhone e iPad se comunican directamente con tu Microsoft Exchange Server a travs de

Microsoft Exchange ActiveSync (EAS), lo que cual permite actualizar correos, calendarios,

contactos y tareas. Con Exchange ActiveSync, los usuarios tambin pueden acceder a

la lista global de direcciones (GAL), y los administradores, a las capacidades de borrado

remoto y ejecucin de polticas con contraseas. iOS es compatible con la autenticacinbsica y basada en certicados para Exchange ActiveSync. Si tu empresa es compatible

con Exchange ActiveSync, tienes los servicios necesarios para implementar el iPhone y

el iPad, sin necesidad de conguracin adicional. Si tienes Exchange Server 2003, 2007

2010, pero tu compaa es nueva en Exchange ActiveSync, consulta los pasos siguientes.

Conguracin de Exchange ActiveSync

Descripcin de la conguracin de red

Verica que el puerto 443 est abierto en el rewall. Si tu compaa permite el acceso

web a Outlook, posiblemente el puerto 443 ya est abierto.

En el servidor de front-end, verica que el certicado del servidor est instalado y

habilita SSL para el directorio virtual de Exchange ActiveSync en IIS. Si ests usando un servidor ISA (Internet Security and Acceleration) de Microsoft, verica

que haya instalado un certicado de servidor y actualiza el DNS pblico para resolver las

conexiones entrantes.

Asegrate que el DNS de tu red devuelve una nica direccin con ruta externa para el

servidor Exchange ActiveSync en clientes de intranet e Internet. Esto es necesario para

que el dispositivo pueda usar la misma direccin IP para comunicarse con el servidor

cuando ambos tipos de conexiones estn activas.

Si ests usando un servidor ISA de Microsoft, crea un web listener, as como una regla

de publicacin de acceso al cliente web de Exchange. Consulta la documentacin de

Microsoft para ver ms detalles.

Para todos los rewalls y dispositivos de red, dene el tiempo de espera de sesininactiva en 30 minutos. Para obtener informacin sobre los intervalos de latidos y

espera, consulta la documentacin de Microsoft Exchange en http://technet.microsoft.

com/es-mx/library/cc182270(en-us).aspx.

Congura las funciones mviles, las polticas y la conguracin del dispositivo de

seguridad con el administrador del sistema de Exchange. Para Exchange Server 2007 y

2010 puedes hacer esto en la consola de administracin de Exchange.

Descarga e instala la herramienta web de administracin mvil de Microsoft Exchange

ActiveSync, necesaria para iniciar un borrado remoto. Para Exchange Server 2007 y

2010, el borrado remoto tambin puede ser iniciado mediante Outlook Web Access o la

consola de administracin de Exchange.

Polticas de seguridad compatibles con

Exchange ActiveSync

Borrado remoto

Dispositivos con contrasea

Tamao mnimo de contrasea

Intentos mximos fallidos de ingreso de

contrasea (antes de Borrado local)

Solicitud de nmeros y letras

Tiempo de inactividad en minutos

(1 a 60 minutos)

Polticas adicionales de Exchange

ActiveSync (slo para Exchange 2007

y 2010)

Permitir o prohibir contraseas simples

Expiracin de contraseas

Historial de contraseas

Intervalo de renovacin de polticas

Nmero mnimo de caracteres complejos

en la contrasea

Activacin de la sincronizacin manual

durante la itinerancia

Activacin de la cmara

Activacin de la navegacin web


3/26

3

Autenticacin bsica (nombre de usuario y contrasea)

Habilita Exchange ActiveSync para los usuarios o grupos especcos que usan el

servicio Active Directory. Esto est habilitado de forma predeterminada en todos los

dispositivos mviles a nivel de la organizacin en Exchange Server 2003, 2007 y 2010.

Para Exchange Server 2007 y 2010, consulta la conguracin del destinatario en la

consola de administracin de Exchange.

Exchange ActiveSync est congurado de forma predeterminada para la autenticacin

bsica del usuario. Se recomienda que habilites SSL para la autenticacin bsica, lo

cual garantiza la encriptacin de las credenciales durante la autenticacin.

Autenticacin basada en certicados

Instala los servicios de certicados corporativos en un servidor miembro o controlador

de dominio en tu dominio (este ser tu servidor de autoridad de certicacin).

Congura IIS en tu servidor de front-end o servidor de acceso cliente de Exchange

para aceptar la autenticacin basada en certicados en el directorio virtual de

Exchange ActiveSync.

Para permitir o requerir certicados para todos los usuarios, deshabilita la Autenticacin

bsica y selecciona Aceptar certicados cliente o Requerir certicados cliente.

Genera certicados cliente usando tu servidor de autoridad de certicacin. Exporta

la clave pblica y congura IIS para usar esta clave. Exporta la clave privada y usa un

perl de conguracin para generar esta clave en el iPhone y el iPad. La autenticacin

basada en certicados slo puede ser congurada usando un perl de conguracin.

Para ms informacin sobre servicios de certicados, consulta los recursos disponibles

en Microsoft.

Otros servicios de Exchange ActiveSync

Bsqueda en la lista global de direcciones

Acepta y crea invitaciones del calendario

Sincroniza tareas

Marca mensajes de correo electrnico con

banderas

Sincroniza las banderas de Respuesta y

Envo con Exchange Server 2010

Bsqueda de Mail en Exchange Server

2007 y 2010

Soporte para varias cuentas de Exchange

ActiveSync

Autenticacin basada en certicados

Actualizacin de correos en carpetas

seleccionadas Identicacin automtica


4/26

El iPhone y el iPad solicitan acceso a los servicios de Exchange ActiveSync en el puerto 443 (HTTPS) (este es el mismo puerto usado por

Outlook Web Access y otros servicios web seguros, por lo que, en muchas implementaciones, este puerto ya est abierto y congurado para el

trco HTTPS encriptado en SSL).

ISA brinda acceso al servidor de front-end o de acceso cliente de Exchange. ISA est congurado como un proxy o, en muchos casos, como un

proxy inverso, para dirigir el trco a Exchange Server.

Exchange Server autentica al usuario entrante a travs del servicio Active Directory y el servidor de certicados (si emplea autenticacin basada

en certicados).

Si el usuario brinda las credenciales apropiadas y tiene acceso a los servicios de Exchange ActiveSync, el servidor de front-end establece una

conexin a la casilla de correo apropiada en el servidor de back-end (a travs del catlogo global de Active Directory).

Se establece la conexin a Exchange ActiveSync. Las actualizaciones/cambios son empujados de forma inalmbrica, y cualquier cambio en el

iPhone y el iPhone se ve reejado en Exchange Server.

El envo de elementos de correo en iPhone tambin est sincronizado con Exchange Server va Exchange ActiveSync (paso 5). Para dirigir el

correo saliente a destinatarios externos, el correo suele ser enviado a travs de un Bridgehead (o Hub Transport) Server hacia un Mail Gateway

(o Edge Transport Server) externo va SMTP. Dependiendo de la conguracin de tu red, el Mail Gateway o Edge Transport Server externo puede

residir dentro de la red del permetro o fuera del rewall.

2011 Apple Inc. Todos los derechos reservados. Apple, el logo Apple, iPhone, iPad y M ac OS son marcas comerciales de Apple Inc., registradas en los EE.UU. y en o tros pases. Otros nombres de productos y

compaas mencionados aqu pueden ser marcas registradas de sus respectivas compaas. Las especicaciones de productos estn sujetas a cambios sin previo aviso. Este material ese provisto solo a ttulo

informativo; Apple no asume responsabilidad relacionada con su uso. Octubre 2011 L419822B

Escenario de implementacin de Exchange ActiveSync

Este ejemplo muestra cmo el iPhone y el iPad se conectan a una implementacin normal de Microsoft Exchange Server 2003, 2007 2010.

Firewall Firewall

Servidor proxyInternet

Servidor de front-end o deacceso cliente de Exchange

Servidor de certicados

Directorio Activo

Clave privada (certicado)

Clave pblica(certicado)

*Dependiendo de la conguracin de tu red, el Mail Gateway o Edge Transport Server puede residir en la red del permetro (DMZ).

Exchange Mailbox oBack-End Server(s)

Mail Gateway oEdge Transport Server*

Perl de conguracin

Bridgehead oHub Transport Server

443

1

4

56

2

3

4

5

6

1

3

2

4


5/26

Implementando iPhone e iPadServicios basados en

estndares

Con soporte para protocolo de correo IMAP, servicios de directorio LDAP, y protocolos de

calendarios CalDAV y contactos CardDAV, el iOS puede ser integrado con casi todos los

entornos de correo, calendarios y contactos basados en estndares. Si tu entorno de red

est congurado para requerir autenticacin de usuario y SSL, el iPhone y el iPad ofrecen

un mtodo seguro para acceder al correo, los calendarios y los contactos corporativosbasados en estndares.

En una implementacin tpica, el iPhone y el iPad establecen el acceso directo a servidores

de correo IMAP y SMTP para recibir y enviar correos a travs del aire, y tambin puede

sincronizar notas inalmbricamente con servidores IMAP. Los dispositivos iOS se conectan

a los directorios LDAP v3 de tu compaa, para que los usuarios accedan a los contactos

corporativos en las aplicaciones Mail, Contactos y Mensajes. Con la sincronizacin con

el servidor CalDAV, los usuarios pueden crear y aceptar invitaciones de calendario,

recibir actualizaciones del calendario y sincronizar tareas con la app Recordatorios.

Con el soporte para CardDAV, los usuarios pueden mantener una serie de contactos

sincronizados con tu servidor CardDAV usando el formato vCard. Todos los servidores de

red pueden estar situados dentro de una subred DMZ, detrs de un rewall corporativo,

o en ambos. Con SSL, iOS es compatible con la encriptacin de 128 bits y los certicados

raz X.509 emitidos por las principales autoridades de certicacin.

Conguracin de red

Su administrador de TI o de red debe completar estos pasos clave para habilitar el acceso

desde el iPhone y el iPad a los servicios IMAP, LDAP, CalDAV y CardDAV:

Abrir los puertos adecuados en el rewall. Los puertos ms comunes son el 993 para el

correo IMAP, el 587 para el correo SMTP, el 636 para servicios de directorio LDAP, el 8443

para calendarios CalDAV y el 8843 para contactos CardDAV. Tambin, se recomienda que

la comunicacin entre tu servidor proxy y tus servidores IMAP, LDAP, CalDAV y CardDAV

de back-end sea congurada para utilizar SSL y que los certicados digitales en tus

servidores de red sean rmados por una autoridad certicadora de conanza, comoVeriSign. Este importante paso asegura que el iPhone y el iPad reconozcan el servidor

proxy como una entidad de conanza dentro de tu infraestructura corporativa.

Para correo SMTP saliente debe abrirse el puerto 587, 465 25 para permitir el envo de

correos electrnicos. El iPhone verica automticamente el puerto 587, luego el 465 y,

luego, el 25. El puerto 587 es el ms conable y seguro, ya que requiere autenticacin de

usuario. El puerto 25 no requiere autenticacin y algunos proveedores de servicios de

Internet bloquean este puerto de forma predeterminada para evitar el spam.

Puertos comunes IMAP/SSL: 993

SMTP/SSL: 587

LDAP/SSL: 636

CalDAV/SSL: 8443, 443

CardDAV/SSL: 8843, 443

Soluciones de correo IMAP o POP

iOS es compatible con los servidores de

correo IMAP4 y POP3 habituales en la

industria para una amplia gama de plata-

formas de servidores, como Windows,

UNIX, Linux y Mac OS X.

Estndares CalDAV y CardDAViOS es compatible con los protocolos de

calendarios CalDAV y contactos CardDAV.

Ambos protocolos han sido estandariza-

dos por el IETF. Encuentra ms infor-

macin a travs del consorcio CalConnect

en http://caldav.calconnect.org/ y http://

carddav.calconnect.org/.


6/26

Escenario de implementacin

Este ejemplo muestra cmo el iPhone y el iPad se conectan a una implementacin tpica de IMAP, LDAP, CalDAV y CardDAV.

2011 Apple Inc. Todos los derechos reservados. Apple, el logo Apple, iPhone, iPad y Mac OS son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros pases. Otros nombres de productos y


informativo; Apple no asume responsabilidad relacionada con su uso. Octubre de 2011 L419827B

El iPhone y el iPad solicitan acceso a los servicios de red sobre los puertos designados.

Dependiendo del servicio, los usuarios deben autenticar ya sea con el reverse proxy o directamente con el servidor para obtener

acceso a los datos corporativos. En todos los casos, las conexiones son transmitidas por el reverse proxy, que funciona como un

gateway seguro, por lo general detrs del rewall de Internet de la compaa. Una vez autenticado, el usuario puede acceder a

sus datos corporativos en los servidores de back-end.

El iPhone y el iPad ofrecen servicios de bsqueda en directorios LDAP, para que los usuarios puedan buscar contactos y otra

informacin de la libreta de direcciones en el servidor LDAP.

Para calendarios CalDAV, los usuarios pueden acceder y actualizar calendarios.

Los contactos de CardDAV son almacenados en el servidor y se puede acceder a ellos localmente desde el iPhone y el iPad. Los

cambios en los campos de contactos de CardDAV vuelven a ser sincronizados con el servidor de CardDAV.

Para los servicios de correo IMAP, los mensajes nuevos y actuales pueden ser ledos en el iPhone y el iPad a travs de la conexin

proxy con el servidor de correo. El correo saliente en el iPhone es enviado al servidor SMTP, con copias en la carpeta Enviados

del usuario.

1

2

3

4

5

6

Firewall Firewall

Servidor reverse proxy

Internet

Servidor de Mail

Servidor de directorioLDAP

3

6

Servidor de CalDAV

Servidor de CardDAV

2

4

5

1

636(LDAP)

8843(CardDAV)

993 (IMAP)587 (SMTP)

8443(CalDAV)

6


7/26

Implementando iPhone e iPadRedes privadas virtuales

El acceso seguro a redes privadas corporativas est disponible en el iPhone y el iPad

mediante los protocolos VPN establecidos, habituales en la industria. Los usuarios pueden

conectarse fcilmente a los sistemas empresariales a travs del cliente VPN integrado en

iOS o mediante aplicaciones de Juniper, Cisco y F5 Networks.

Apenas lo sacas de la caja, iOS es compatible con Cisco IPSec, L2TP over IPSec y PPTP. Si tu

organizacin emplea alguno de estos protocolos, no necesitas otra conguracin de red o

aplicaciones de terceros para conectar el iPhone y el iPad a tu VPN.

Adems, iOS es compatible con VPN SSL, que permite el acceso a los servidores de VPN SSL

de Juniper SA Series, Cisco ASA y F5 BIG-IP Edge Gateway. Para empezar, los usuarios slo

tienen que descargar una aplicacin de cliente VPN desarrollada por Juniper, Cisco o F5

desde el App Store. Al igual que otros protocolos VPN compatibles con iOS, SSL VPN puede

ser congurado manualmente en el dispositivo o por medio de un perl de conguracin.

iOS es compatible con las tecnologas estndar en la industria, tales como IPv6, servidores

proxy y split-tunneling, proporcionando una rica experiencia de VPN para conectarse a

redes corporativas. Adems, iOS funciona con varios mtodos de autenticacin, incluyendo

contraseas, tokens de dos factores y certicados digitales. Para mejorar la conexin en

entornos que utilizan la autenticacin basada en certicados, iOS incluye VPN On Demand,

que inicia dinmicamente una sesin de VPN para conectarse a dominios especcos.

Protocolos y mtodos de autenticacin compatibles

SSL VPN

Es compatible con la autenticacin de usuarios mediante contraseas, tokens de dos

factores y certicados.

Cisco IPSec

Es compatible con la autenticacin de usuarios mediante contraseas, tokens de dos

factores y autenticacin de mquinas por certicados y secreto compartido.

L2TP over IPSecEs compatible con la autenticacin de usuarios mediante contrasea MS-CHAP v2, tokens

de dos factores y autenticacin de mquinas por secreto compartido.

PPTP

Es compatible con la autenticacin de usuarios mediante contrasea MS-CHAP v2 y

tokens de dos factores.


8/26

8

VPN On Demand

Para las conguraciones con autenticacin basada en certicados, iOS es compatible

con VPN On Demand, que establecer una conexin automticamente cuando

se acceda a los dominios predenidos, ofreciendo una excelente experiencia de

conectividad VPN para los usuarios.

Esta es una funcionalidad de iOS que no requiere otra conguracin del servidor.

La conguracin de VPN On Demand se lleva a cabo a travs de un perl de

conguracin o puede ser congurada manualmente en el dispositivo.

Las opciones de VPN On Demand son:

Siempre

Inicia una conexin de VPN para cualquier direccin que coincide con el dominio

especicado.

Nunca

No inicia una conexin de VPN para direcciones que coinciden con el dominio

especicado, pero si la VPN ya est activa, puede ser usada.

Establecer si es necesario

Inicia una conexin de VPN para direcciones que coinciden con el dominio

especicado slo luego de que ha fallado una bsqueda DNS.

Conguracin de VPN

iOS se integra con varias de las actuales redes VPN con una conguracin mnima

necesaria. La mejor manera de preparar la implementacin es comprobar si iOS es

compatible con los protocolos VPN y los mtodos de autenticacin de tu compaa.

Se recomienda que revises la ruta de autenticacin en tu servidor de autenticacin

para garantizar que los estndares compatibles con iOS estn habilitados en tu

implementacin.

Si piensas utilizar la autenticacin basada en certicados, asegrate de tener la

infraestructura de clave pblica congurada para ser compatible con certicados

basados en dispositivos y usuarios, con el correspondiente proceso de distribucin de

claves.

Si deseas congurar los ajustes de proxy especcos para la URL, coloca un archivo PAC

en un servidor web que sea accesible con la conguracin bsica de VPN y asegrate

que se encuentra alojado con el tipo application/x-ns-proxy-autocong MIME.

Conguracin de proxy

Para todas las conguraciones tambin puedes especicar un proxy VPN. Para

congurar un proxy nico para todas las conexiones, usa la conguracin manual e

ingresa la direccin, el puerto y la autenticacin, si es necesario. Para congurar el

dispositivo con un archivo de conguracin de proxy automtico que utiliza PAC o

WPAD, emplea el ajuste automtico. Para PACS, especica la URL del archivo PACS. Para

WPAD, el iPhone y el iPad consultarn DHCP y DNS para la conguracin adecuada.


9/26

9

1

2

3

4

5

6

Firewall Firewall

Servidor/concentrador de VPN

Internet pblica

Red privada

Certicado o tokende autenticacin

Servidor proxy

Servidor de autenticacin de VPNGeneracin de token o autenticacin de certifcado

1 4

3a 3b

2

5

Servicio dedirectorio

2011 Apple Inc. Todos los derechos reser vados. Apple, el logo Apple, iPhone, iPad y Ma c OS son ma rcas comerciales de Apple Inc., registradas en los EE.UU. y en otros p ases. Otros nombres de produc-

tos y compaas mencionados aqu pueden ser marcas registradas de sus respectivas compaas. Las especicaciones de productos estn sujetas a cambios sin previo aviso. Este material ese provisto

solo a ttulo informativo; Apple no asume responsabilidad relacionada con su uso. Octubre de 2011 L419828B

Escenario de implementacin

El ejemplo muestra una implementacin habitual con un servidor/concentrador de VPN y con un servidor de autenticacin que

controla el acceso a los servicios de red empresariales.

El iPhone y el iPad solicitan acceso a los servicios de red.

El servidor/concentrador de VPN recibe la solicitud y la transere al servidor de autenticacin.

En un entorno de token de dos factores, el servidor de autenticacin administrar la generacin de claves de token sincronizada con el servidor

de claves. Si se implementa un mtodo de autenticacin de certicados es necesario distribuir un certicado de identidad al iPhone antes de la

autenticacin. Si se implementa un mtodo de contraseas el proceso de autenticacin contina con la validacin del usuario.

Una vez que el usuario es autenticado, el servidor de autenticacin valida las polticas del usuario y el grupo.

Luego de validar las polticas del usuario y del grupo, el servidor de VPN brinda acceso encapsulado y encriptado a los servicios de red.

Si se usa un servidor de proxy, el iPhone y el iPad se conectan a travs del servidor de proxy para acceder a la informacin fuera del rewall.


10/26

Implementando iPhone e iPadWi-Fi

Protocolos de seguridad inalmbrica

WEP

WPA Personal

WPA Enterprise

WPA2 Personal

WPA2 Enterprise

Mtodos de autenticacin 802.1X

EAP-TLS

EAP-TTLS

EAP-FAST

EAP-SIM

PEAPv0 (EAP-MS-CHAP v2)

PEAPv1 (EAP-GTC)

LEAP

Apenas los sacas de la caja, el iPhone y el iPad se pueden conectar de forma segura a

redes Wi-Fi corporativas o invitadas, por lo que unirse a redes inalmbricas disponibles

es muy rpido y simple, tanto si ests en el campus o de viaje.

iOS es compatible con los protocolos habituales de redes inalmbricas, como WPA2

Enterprise, asegurando que las redes inalmbricas corporativas puedan ser conguradas

rpidamente y sean de acceso seguro. WPA2 Enterprise emplea encriptacin AES de 128

bits, un mtodo comprobado y basado en bloques que proporciona a los usuarios el

mayor nivel de seguridad para sus datos.

Con soporte para 802.1X, iOS puede ser integrado a una amplia gama de entornos de

autenticacin RADIUS. Los mtodos de autenticacin inalmbrica 802.1X compatibles con

el iPhone y el iPad son EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0, PEAPv1 y LEAP.

Es posible acceder rpidamente a las redes Wi-Fi que requieren credenciales de

acceso u otra informacin, sin necesidad de abrir una sesin del navegador, desde la

conguracin de Wi-Fi o en aplicaciones tales como Mail. Adems, con la conectividad

Wi-Fi persistente y de bajo consumo de energa, las aplicaciones pueden emplear redes

Wi-Fi para distribuir noticaciones push.

Para una rpida instalacin e implementacin, los ajustes de red inalmbrica, seguridad,

proxy y autenticacin pueden ser congurados a travs de Perles de Conguracin.

Conguracin de WPA2 Enterprise

Verica la compatibilidad de los dispositivos de red y selecciona un tipo de autenticacin

(tipo EAP) compatible con iOS.

Verica que 802.1X est habilitado en el servidor de autenticacin y, si es necesario, instala

un certicado de servidor y asigna permisos de acceso a la red para usuarios y grupos.

Congura puntos de acceso inalmbrico para la autenticacin de 802.1X e ingresa la

informacin correspondiente del servidor RADIUS.

Si planeas usar la autenticacin basada en certicados, congura tu infraestructura

de claves pblicas para emplear certicados basados en dispositivos y usuarios con el

correspondiente proceso de distribucin de claves.

Verica el formato de los certicados y la compatibilidad del servidor de autenticacin. iOS

es compatible con PKCS#1 (.cer, .crt, .der) y PKCS#12.

Para ver ms documentacin sobre los estndares de redes inalmbricas y el Acceso

Protegido Wi-Fi (WPA), visita www.wi-.org.


11/26

Escenario de implementacin de WPA2 Enterprise/802.1XEste ejemplo muestra una implementacin habitual de red inalmbrica segura con autenticacin basada en RADIUS.

El iPhone y el iPad solicitan acceso a la red. El iPhone inicia la conexin en respuesta a un usuario que selecciona una redinalmbrica disponible, o inicia automticamente una conexin luego de detectar una red congurada previamente.

Una vez que el punto de acceso recibe la solicitud, la misma es enviada al servidor RADIUS para su autenticacin.

El servidor RADIUS valida la cuenta del usuario mediante el servicio de directorio.

Una vez que el usuario es autenticado, el punto de acceso brinda acceso a red con las polticas y permisos establecidos por el

servidor RADIUS.

2011 Apple Inc. Todos los derechos reservados. Apple, el logo Apple, iPhone, iPad y Mac OS son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros pases. Otros nombres de productos y


informat ivo; Apple no asume responsabilidad relacionada con su uso. Octubre de 2011 L419830B

1

2

3

4

Punto de accesoinalmbrico

con soporte para 802.1x

Servicios de directorio

Servicios de red

Servidor de autenticacin consoporte para 802.1x (RADIUS)

Certicado ocontrasea basado en

Tipo EAP

1

2

3

4

Firewall

11


12/26


13/26

2011 Apple Inc. Todos los derechos reser vados. Apple, el logo Apple, iPhone, iPad y Ma c OS son marcas comerciales de Apple

Inc., registradas en los EE.UU. y en otros pases. Otros nombres de productos y compaas mencionados aqu pueden ser marcas

registradas de sus respectivas compaas. Las especicaciones de productos estn sujetas a cambios sin previo aviso. Este material

ese provisto solo a ttulo informativo; Apple no asume responsabilidad relacionada con su uso. Octubre de 2011 L419821B

Distribucin e instalacin de certicados

Distribuir certicados para iPhone e iPad es muy simple. Cuando se recibe un certicado,

los usuarios slo deben tocar para revisar el contenido y volver a tocar para aadir el

certicado a su dispositivo. Cuando se instala un certicado de identidad, los usuarios

deben ingresar la contrasea que lo protege. Si la autenticidad de un certicadono puede ser vericada, los usuarios vern una advertencia antes de aadirlo a su

dispositivo.

Instalacin de certicados mediante perles de conguracin

Si se usan perles de conguracin para distribuir conguraciones de servicios

corporativos, tales como Exchange, VPN o Wi-Fi, se pueden aadir certicados al perl

para simplicar la implementacin.

Instalacin de certicados mediante Mail o Safari

Si se enva un certicado por correo electrnico, aparecer como un archivo adjunto. Es

posible usar Safari para descargar certicados desde una pgina web. Puedes alojar un

certicado en un sitio web seguro y brindar a los usuarios una URL donde descargar el

certicado en sus dispositivos.

Instalacin mediante SCEP (Simple Certicate Enrollment Protocol)

SCEP est diseado para brindar un proceso simplicado que permita manejar la

distribucin de certicados para implementaciones a gran escala. Esto permite el registro

a travs del aire de certicados digitales en el iPhone y el iPad, que pueden ser usados

para la autenticacin de servicios corporativos, as como para el registro con un servidor

de administracin de dispositivos mviles.

Para ms informacin sobre SCEP y Over-the-Air Enrollment, visita www.apple.com/mx/

iphone/business/resources (Mxico) o www.apple.com/la/iphone/business/resources

(resto de Amrica Latina).

Eliminacin y revocacin de certicados

Para eliminar manualmente un certicado que ha sido instalado, selecciona Ajustes >

General > Perles. Si eliminas un certicado requerido para el acceso a una cuenta o red,

el dispositivo ya no podr conectarse a esos servicios.

Para eliminar certicados a travs del aire, se puede usar un servidor de administracin

de dispositivos mviles. Este servidor puede ver todos los certicados en un dispositivo y

eliminar los instalados.

Adems, el protocolo OCSP (Online Certicate Status Protocol) permite comprobar el

estado de los certicados. Cuando se utiliza un certicado compatible con OCSP, iOS lo

valida para garantizar que no ha sido revocado antes de completar la tarea solicitada.

13


14/26

Implementando iPhone e iPadDescripcin de seguridad

iOS, el sistema operativo del iPhone y el iPad, est basado en capas de seguridad.

A travs de l, el iPhone y el iPad pueden acceder de forma segura a los servicios

corporativos y proteger datos importantes. iOS ofrece encriptacin slida para los datos

en transmisin, mtodos comprobados de autenticacin para acceso a los servicios

corporativos, y encriptacin de hardware para todos los datos en reposo. iOS tambin

brinda proteccin segura a travs del uso de polticas de contrasea que pueden ser

distribuidas y ejecutadas a travs del aire. Adems, si el dispositivo cae en las manosequivocadas, los usuarios y administradores de TI pueden iniciar un comando de borrado

remoto para eliminar la informacin privada.

Al considerar la seguridad de iOS para uso empresarial, es til conocer lo siguiente:

Seguridad del dispositivo: mtodos que previenen el uso no autorizado del dispositivo

Seguridad de datos: proteccin de los datos en reposo, incluso si el dispositivo est roto o perdido

Seguridad de la red: protocolos de red y encriptacin de datos en transmisin

Seguridad de apps: base segura para plataformas en iOS

Estas capacidades trabajan en conjunto para brindar una plataforma segura de

informtica mvil.

Seguridad del dispositivoEl establecimiento de polticas slidas para acceder al iPhone y al iPad es fundamental

para proteger la informacin corporativa. Las contraseas de dispositivos son la primera

lnea de defensa contra el acceso no autorizado, y pueden ser conguradas y aplicadas de

forma inalmbrica. Los dispositivos iOS usan la contrasea establecida por cada usuario

para generar una clave de encriptacin fuerte que protege an ms el correo y los datos

sensibles de las aplicaciones en el dispositivo. Adems, iOS brinda mtodos seguros para

congurar el dispositivo en un entorno empresarial con ajustes, polticas y restricciones

especcas. Estos mtodos ofrecen opciones exibles para el establecimiento de un nivel

estndar de proteccin para usuarios autorizados.

Polticas de contraseas

Una contrasea en el dispositivo evita que los usuarios no autorizados accedan a los datos

u obtengan acceso a ese dispositivo. iOS te permite seleccionar entre un amplio conjunto

de requisitos de contraseas para atender tus necesidades de seguridad, como perodos de

tiempo de espera, fuerza de la contrasea y frecuencia de modicacin de la contrasea.

Son compatibles las siguientes polticas de contraseas:

Solicitud de contrasea

Permiso de valor simple

Solicitud de valor alfanumrico

Extensin mnima de contrasea

Nmero mnimo de caracteres complejos

Perodo mximo de contrasea

Bloqueo automtico

Historial de contraseas

Perodo de gracia para bloqueo del dispositivo

Nmero mximo de intentos fallidos

Seguridad del dispositivo

Contraseas fuertes

Expiracin de la contrasea

Historial de reutilizacin de la contrasea

Mximo de intentos fallidos

Ejecucin inalmbrica de contraseas

Interrupcin progresiva de la contrasea


15/26

Ejecucin de polticas

Las polticas descritas pueden aplicarse al iPhone y al iPad de diversas maneras. Las

polticas pueden ser distribuidas como parte de un perl de conguracin a instalar.

Un perl puede ser denido para que slo sea posible borrarlo con una contrasea de

administrador, o bloqueado en el dispositivo sin que pueda eliminarse sin borrar por

completo todos los contenidos del dispositivo. Adems, los ajustes de contraseas puedenser congurados de forma remota usando soluciones de administracin de dispositivos

mviles que pueden aplicar las polticas directamente al dispositivo. Esto permite que las

polticas sean aplicadas y actualizadas sin interaccin por parte del usuario.

Alternativamente, si el dispositivo est congurado para acceder a una cuenta de

Microsoft Exchange, las polticas de Exchange ActiveSync son aplicadas de forma

inalmbrica en el dispositivo. Ten en cuenta que el conjunto disponible de polticas

puede variar dependiendo de la versin de Exchange (2003, 2007 2010). Consulta la

gua de Exchange ActiveSync y dispositivos iOS para ver un detalle de las polticas para

tu conguracin especca.

Conguracin segura de dispositivos

Los perles de conguracin son archivos XML que contienen polticas de seguridad y

restricciones, informacin de conguracin de la VPN, ajustes de Wi-Fi, cuentas de correoy calendario, y credenciales de autenticacin para que el iPhone y el iPad funcionen

con los sistemas de tu empresa. La capacidad de establecer polticas de contraseas,

junto con los ajustes del dispositivo en un perl de conguracin, asegura que los

dispositivos dentro de tu empresa estn congurados correctamente y de acuerdo con

las normas de seguridad establecidas por tu organizacin. Adems, ya que los perles

de conguracin pueden ser encriptados y bloqueados, los ajustes no pueden ser

removidos, alterados o compartidos con otros.

Los perles de conguracin pueden ser rmados y encriptados. La rma de un perl

de conguracin asegura que los ajustes no pueden ser alterados. La encriptacin de un

perl de conguracin protege los contenidos del perl y slo lo instala en el dispositivo

para el cual fue creado. Los perles de conguracin son encriptados usando CMS

(Cryptographic Message Syntax, RFC 3852), compatible con 3DES y AES 128.

La primera vez que distribuyes un perl de conguracin encriptado, lo instalas a travsde sincronizacin por USB usando la herramienta de utilidad de conguracin o de forma

inalmbrica a travs de Over-the-Air Enrollment. Adems de estos mtodos, la distribucin

posterior de perles de conguracin encriptados puede ser realizada como adjuntos de

correo electrnico, alojados en un sitio web accesible para los usuarios, o empujados al

dispositivo a travs de soluciones de administracin de dispositivos mviles.

Restricciones para dispositivos

Las restricciones para dispositivos determinan las funcionalidades a las que los usuarios

pueden acceder en el dispositivo. Por lo general, implican aplicaciones basadas en la

red, como Safari, YouTube o el iTunes Store, pero las restricciones tambin pueden

controlar funcionalidades como la instalacin de aplicaciones o el uso de la cmara.

Las restricciones para dispositivos te permiten congurar el dispositivo segn tus

necesidades, mientras permiten a los usuarios usar el dispositivo de manera consistente

con las prcticas de tu negocio. Las restricciones pueden ser conguradas manualmenteen cada dispositivo, aplicadas con un perl de conguracin o establecidas de

forma remota con soluciones de administracin de dispositivos mviles. Adems, las

restricciones para la cmara y la navegacin web pueden aplicarse de forma inalmbrica

a travs de Microsoft Exchange Server 2007 y 2010.

Adems de establecer restricciones y polticas en el dispositivo, la aplicacin iTunes

puede ser congurada y controlada por el rea de TI. Esto incluye deshabilitar el acceso

al contenido explcito, denir qu usuarios de servicios de red pueden acceder dentro de

iTunes, y si hay nuevas actualizaciones de software para instalar. Para ms informacin,

consulta Implementar iTunes en dispositivos iOS.

Polticas y restricciones congurables

compatibles:

Funcionalidad de dispositivos

Instalacin de apps

Uso de la cmara

Uso de FaceTime

Captura de pantalla

Sincronizacin automtica durante la itinerancia

Uso del marcado por voz

Compras dentro de apps

Solicitud de la contrasea de la tienda para

todas las compras

Juegos multijugadores

Agregado de amigos a Game Center

Aplicaciones Uso de YouTube

Uso de iTunes Store

Uso de Safari

Conguracin de las preferencias de seguridad

de Safari

iCloud

Copias de seguridad

Sincronizacin de documentos y sincronizacin

de valores clave

Uso de Fotos en streaming

Seguridad y privacidad

Envo de datos de diagnstico a Apple

Aceptacin de certicados no conables porparte del usuario

Ejecucin de copias de seguridad encriptadas

Califcaciones de contenido

Habilitacin de msica y podcasts explcitos

Denicin de regiones de calicaciones

Denicin de calicaciones de contenidos

permitidos

15


16/26

Seguridad de los datos

Proteger los datos almacenados en el iPhone y el iPad es importante para cualquier

entorno con un alto nivel de informacin condencial corporativa o del cliente. Adems

de encriptar datos en la transmisin, el iPhone y el iPad permiten la encriptacin de

hardware para los datos almacenados en el dispositivo, y la encriptacin adicional dedatos de correos y aplicaciones con una mejor proteccin de datos.

Si un dispositivo se pierde o es robado es importante desactivar y borrar el dispositivo.

Tambin, es una buena idea tener una poltica que borre el dispositivo despus de un

nmero denido de intentos fallidos de ingreso de la contrasea, un impedimento

clave contra los intentos de obtener acceso no autorizado al dispositivo.

Encriptacin

El iPhone y el iPad ofrecen encriptacin basada en el hardware. La encriptacin

de hardware usa codicacin AES de 256 bits para proteger todos los datos en el

dispositivo. La encriptacin est siempre activa y no puede ser deshabilitada por los

usuarios.

Adems, es posible encriptar los datos de las copias de seguridad de iTunes en la

computadora de un usuario. Esto puede ser activado por el usuario o ejecutado

mediante los ajustes de las restricciones del dispositivo en los perles de conguracin.

iOS es compatible con S/MIME en el correo, lo que permite al iPhone y al iPad ver y

enviar mensajes de correo electrnico encriptados. Las restricciones tambin pueden

ser usadas para evitar que los mensajes de correo sean movidos entre cuentas o los

mensajes recibidos en una cuenta sean reenviados desde otra.

Proteccin de datos

Gracias a las capacidades de encriptacin de hardware del iPhone y el iPad, los

mensajes y adjuntos de correo electrnico almacenados en el dispositivo pueden ser

protegidos con las funcionalidades de proteccin de datos de iOS. La proteccin de

datos usa la contrasea de dispositivo de cada usuario, junto con la encriptacin dehardware en el iPhone y el iPad, para generar una slida clave de encriptacin. Esta

clave evita el acceso a los datos cuando el dispositivo est bloqueado, garantizando

que la informacin crtica est protegida incluso si el dispositivo se ve comprometido.

Para activar la funcionalidad de proteccin de datos, slo tienes que establecer

una contrasea en el dispositivo. La efectividad de la proteccin de datos depende

de una contrasea fuerte, por lo que es importante exigir e implementar una

contrasea mayor a cuatro dgitos a la hora de establecer sus polticas de contrasea

corporativas. Los usuarios pueden vericar que la proteccin de datos est habilitada

en tu dispositivo mirando la pantalla de ajustes de la contrasea. Las soluciones de

administracin de dispositivos mviles tambin pueden consultar el dispositivo para

obtener esta informacin. Estas API de proteccin de datos tambin estn disponibles

para desarrolladores, y pueden ser usadas para proteger los datos de aplicaciones

internas o comerciales en la empresa.

Borrado remoto

iOS permite el borrado remoto. Si un dispositivo se pierde o es robado, el

administrador o dueo del dispositivo puede iniciar un comando de borrado remoto

que elimina todos los datos y desactiva el dispositivo. Si el dispositivo est congurado

con una cuenta de Exchange, el administrador puede iniciar un comando de borrado

remoto con la consola de administracin de Exchange (Exchange Server 2007) o la

herramienta web de administracin mvil de Exchange ActiveSync (Exchange Server

2003 2007). Los usuarios de Exchange Server 2007 tambin pueden iniciar comandos

de borrado remoto directamente a travs de Outlook Web Access. Los comandos de

borrado remoto tambin pueden ser iniciados por las soluciones de administracin de

dispositivos mviles, incluso si los servicios corporativos de Exchange no estn en uso.

Intervalo progresivo de contrasea

El iPhone y el iPad pueden ser congurados

para iniciar automticamente un borrado

despus de varios intentos fallidos de ingreso

de la contrasea. Si un usuario ingresa varias

veces la contrasea incorrecta, iOS se inhabili-

tar por intervalos cada vez ms largos. Luego

de muchos intentos fallidos, se borrarn todos

los datos y ajustes del dispositivo.

Seguridad de los datos

Encriptacin de hardware

Proteccin de datos

Borrado remoto

Borrado local

Perles de conguracin encriptados

Copias de seguridad de iTunes encriptadas

16


17/26

Protocolos de VPN

Cisco IPSec

L2TP/IPSec

PPTP

VPN SSL

Mtodos de autenticacin

Contrasea (MSCHAPv2)

RSA SecurID

CRYPTOCard

Certicados digitales x.509

Secreto compartido

Protocolos de autenticacin 802.1x

EAP-TLS

EAP-TTLS

EAP-FAST

EAP-SIM

PEAP v0, v1

LEAP

Formatos de certicados compatibles

iOS es compatible con los certicados X.509

con claves RSA. Se reconocen las extensiones

de archivos .cer, .crt y .der.

Borrado local

Los dispositivos tambin pueden ser congurados para iniciar automticamente un

borrado local despus de varios intentos fallidos de ingreso de la contrasea. Esto protege

contra los intentos forzados de obtener acceso al dispositivo. Cuando se establece una

contrasea, los usuarios pueden habilitar el borrado local directamente desde los ajustes.

Por defecto, iOS borrar automticamente el dispositivo luego de 10 intentos fallidos.Al igual que con otras polticas de contrasea, el nmero mximo de intentos fallidos

es establecido a travs de un perl de conguracin, un servidor de administracin

de dispositivos mviles o, de forma inalmbrica, con polticas de Microsoft Exchange

ActiveSync.

iCloud

iCloud almacena msica, fotos, apps, calendarios, documentos y mucho ms, y los actualiza

automticamente en todos los dispositivos del usuario. iCloud tambin hace copias de

seguridad de la informacin, como ajustes del dispositivo, datos de apps, y mensajes

de texto y MMS, todos los das a travs de Wi-Fi. iCloud protege tu contenido, ya que lo

encripta cuando se enva por Internet, lo almacena en un formato cifrado y usa tokens de

seguridad para la autenticacin. Adems, las funcionalidades de iCloud, como Fotos en

streaming, sincronizacin de documentos y copias de seguridad, pueden ser deshabilitadasmediante un perl de conguracin. Para ms informacin sobre la seguridad y privacidad

de iCloud, visita http://support.apple.com/kb/HT4865?viewlocale=es_ES.

Seguridad de red

Los usuarios mviles deben poder acceder a las redes de informacin corporativa desde

cualquier lugar del mundo. Sin embargo, es importante garantizar que los usuarios

estn autorizados y que sus datos estn protegidos durante la transmisin. iOS ofrece

tecnologas comprobadas para lograr estos objetivos de seguridad, tanto para conexiones

Wi-Fi como de redes celulares.

Adems de la infraestructura existente, cada sesin de FaceTime y la conversacin

de iMessage es encriptada de punta a punta. iOS crea un ID nico para cada usuario,

asegurando que las comunicaciones estn encriptadas, dirigidas y conectadas

correctamente.

VPN

Muchos entornos empresariales tienen algn tipo de red privada virtual (VPN) establecida.

Estos servicios de redes seguras ya estn implementados y, por lo general, requieren una

conguracin mnima para funcionar con el iPhone y el iPad.

Apenas lo sacas de la caja, iOS se integra con una amplia gama de tecnologas VPN usadas

habitualmente a travs del soporte de Cisco IPSec, L2TP y PPTP. iOS es compatible con

SSL VPN a travs de aplicaciones de Juniper, Cisco y F5 Networks. El soporte para esos

protocolos garantiza el ms alto nivel de encriptacin basada en IP para la transmisin

de informacin sensible. Adems de permitir el acceso seguro a los entornos de VPN,

iOS ofrece mtodos comprobados para la autenticacin del usuario. Con la autenticacin

a travs de certicados digitales x.509 estndar, los usuarios pueden acceder mejor alos recursos de la compaa y es una alternativa viable al uso de tokens basados en el

hardware. Adems, con la autenticacin de certicados, iOS puede usar VPN On Demand,

para que el proceso de autenticacin de VPN sea transparente, mientras brinda fuertes

credenciales de acceso a los servicios de red. Para entornos empresariales que requieren

un token de dos factores, iOS se integra con RSA SecurID y CRYPTOCard.

iOS es compatible con la conguracin proxy de red, as como con la divisin de tunneling

IP, para que el trco a los dominios de redes pblicas o privadas sea transmitido de

acuerdo con las polticas especcas de tu compaa.

Seguridad de red

Cisco IPSec, L2TP, PPTP VPN integrados

VPN SSL va apps del App Store

SSL/TLS con certicados X.509

WPA/WPA2 Enterprise con autenticacin

802.1x basada en certicados

RSA SecurID, CRYPTOCard

17


18/26

SSL/TLS

iOS es compatible con SSL v3, as como con Transport Layer Security (TLS v1.0, 1.1 y 1.2), el

estndar de seguridad de ltima generacin para Internet. Safari, Calendario, Mail y otras

aplicaciones de Internet inician automticamente estos mecanismos para habilitar un

canal de comunicacin encriptado entre iOS y los servicios corporativos.

WPA/WPA2

iOS es compatible con WPA2 Enterprise para brindar acceso autenticado a la red

inalmbrica de tu empresa. WPA2 Enterprise emplea encriptacin AES de 128 bits, para

que los usuarios puedan obtener el mayor nivel de seguridad respecto que sus datos

permanecern protegidos a la hora de enviar y recibir comunicaciones a travs de una

conexin de red Wi-Fi. Adems, con el soporte para 802.1x, el iPhone y el iPad pueden ser

integrados en una amplia gama de entornos de autenticacin RADIUS.

Seguridad de las apps

iOS es diseado con la seguridad en su ncleo. Incluye un mtodo aislado para la proteccin

del tiempo de ejecucin de las aplicaciones y requiere la rma de la aplicacin para garantizar

que las aplicaciones no pueden ser alteradas. iOS tambin tiene una estructura segura quefacilita el almacenamiento seguro de credenciales de servicios de red y aplicaciones en un

llavero encriptado. Para los desarrolladores, ofrece una arquitectura comn de encriptacin

que puede ser usada para encriptar los datos de aplicaciones almacenados.

Proteccin del tiempo de ejecucin

Las aplicaciones en el dispositivo estn aisladas, para que no puedan acceder a datos

almacenados por otras aplicaciones. Adems, los archivos del sistema, los recursos y el

ncleo estn protegidos desde el espacio de la aplicacin del usuario. Si una aplicacin

necesita acceder a los datos de otra aplicacin, slo puede hacerlo a travs de las API y los

servicios provistos por iOS. Tambin se evita la generacin de cdigo.

Firma obligatoria del cdigo

Todas las aplicaciones de iOS deben estar rmadas. Las aplicaciones provistas con eldispositivo estn rmadas por Apple. Las aplicaciones de terceros estn rmadas por el

desarrollador mediante un certicado emitido por Apple. Esto garantiza que las aplicaciones

no han sido manipuladas o alteradas. Adems, se realizan controles del tiempo de ejecucin

para garantizar que una aplicacin sigue siendo conable desde la ltima vez que se utiliz.

El uso de aplicaciones personalizadas o internas puede ser controlado con un perl de

aprovisionamiento. Los usuarios deben tener el perl de aprovisionamiento instalado

para ejecutar la aplicacin. Los perles de aprovisionamiento pueden ser instalados o

revocados de forma inalmbrica usando soluciones de administracin de dispositivos

mviles. Los administradores tambin pueden restringir el uso de una aplicacin a

dispositivos especcos.

Esquema seguro de autenticacin

iOS ofrece llaveros seguros y encriptados para almacenar las identidades digitales,los nombres de usuario y las contraseas. Los datos del llavero son divididos para

evitar el acceso a las credenciales almacenadas por aplicaciones de terceros desde

aplicaciones con una identidad diferente. Esto proporciona el mecanismo para proteger

las credenciales de autenticacin en el iPhone y el iPad a travs de una amplia gama de

aplicaciones y servicios dentro de la empresa.

Arquitectura Common Crypto

Los desarrolladores de aplicaciones tienen acceso a las API de encriptacin, que pueden

usar para proteger an ms los datos de sus aplicaciones. Los datos pueden ser encriptados

mtricamente empleando mtodos comprobados, tales como AES, RC4 o 3DES. Adems,

el iPhone y el iPad ofrecen aceleracin de hardware para encriptacin AES y hash SHA1,

maximizando el desempeo de las aplicaciones.

Seguridad de las apps

Proteccin del tiempo de ejecucin

Firma obligatoria del cdigo Servicios de llavero

API de CommonCrypto

Proteccin de datos de aplicaciones

18


19/26

2011 Apple Inc. Todos los derechos reservados. Apple, el logo de Apple logo, FaceTime, iPad, iPhone, iTunes y Safari son marcas

comerciales de Apple Inc., registradas en los EE.UU. y en otros pases. iCloud e iTunes Store son marcas de servicio de Apple Inc.,

registradas en los EE.UU. y en otros pases. App Store es marca de servicio de Apple Inc. Otros nombres de productos y compaas

mencionados aqu pueden ser marcas registradas de sus respectivas compaas. Las especicaciones de productos estn sujetas a

cambios sin previo aviso. Octubre de 2011 L422500B

Proteccin de los datos de las aplicaciones

Las aplicaciones tambin pueden emplear la encriptacin de hardware incluida en

el iPhone y el iPad para proteger an ms los datos sensibles de las aplicaciones.

Los desarrolladores pueden designar a archivos especcos para la proteccin

de datos, dando instrucciones al sistema para que el contenido del archivo sea

criptogrcamente inaccesible para la aplicacin y para cualquier intruso potencialcuando se bloquea el dispositivo.

Apps administradas

Un servidor MDM puede administrar apps de terceros en el App Store, as como apps

internas de la empresa. La designacin de una app como administrada permite que el

servidor especique si la app y sus datos pueden ser eliminados del dispositivo por el

servidor MDM. Adems, el servidor puede evitar que los datos de la app administrada

sean respaldados en iTunes e iCloud. As, el rea de TI puede administrar apps que

pueden contener informacin condencial de la empresa con ms control que con las

apps descargadas directamente por el usuario.

Para instalar una app administrada el servidor MDM enva un comando de

instalacin al dispositivo. Las apps administradas requieren la aceptacin del usuarioantes de ser instaladas.

Dispositivos revolucionarios y completamente seguros

El iPhone y el iPad ofrecen proteccin encriptada de los datos en trnsito, en reposo e

incluidos en las copias de seguridad de iCloud e iTunes. Si un usuario est accediendo

al correo electrnico corporativo, visitando un sitio web privado o autenticando su

ingreso a la red corporativa, iOS garantiza que nicamente los usuarios autorizados

puedan acceder a la informacin corporativa sensible. Adems, con su soporte para

redes de nivel empresarial y mtodos completos para prevenir la prdida de datos,

puedes implementar los dispositivos iOS con la conanza de que ests implementando

la mejor proteccin de datos y seguridad para dispositivos mviles.

19


20/26

Implementando iPhone e iPadAdministracin de dispositivos

mviles

iOS es compatible con la administracin de dispositivos mviles, brindando a las

empresas la capacidad de administrar implementaciones a escala del iPhone y el iPad

en todas sus organizaciones. Estas capacidades MDM estn basadas en las tecnologas

iOS existentes, como los perles de conguracin, Over-the-Air Enrollment y el servicio

de noticacin push de Apple, adems pueden ser integradas con soluciones deservidor internas o de terceros. Con esto, los departamentos de TI pueden registrar el

iPhone y el iPad de forma segura en un entorno empresarial, congurar y actualizar de

forma inalmbrica los ajustes, monitorear el cumplimiento de las polticas corporativas

e, incluso, borrar o bloquear de forma remota los dispositivos administrados.

Cmo administrar el iPhone y el iPad

La administracin de dispositivos iOS se realiza a travs de una conexin a un

servidor de administracin de dispositivos mviles. Este servidor puede ser creado

internamente por TI o comprado a otro proveedor. El dispositivo se comunica con el

servidor para ver si hay tareas pendientes y responde con las acciones apropiadas.

Estas tareas pueden incluir la actualizacin de polticas, la provisin de la informacinde dispositivos o redes solicitada, o la eliminacin de ajustes y datos.

La mayora de las funciones de administracin son realizadas detrs de escena,

sin interaccin del usuario. Por ejemplo, si un departamento de TI actualiza su

infraestructura de VPN, el servidor MDM puede congurar el iPhone y el iPad con la

nueva informacin de cuenta a travs del aire. La prxima vez que la VPN es usada por

el empleado, la conguracin adecuada ya estar instalada, por lo que el empleado no

necesita llamar a la mesa de ayuda o modicar manualmente los ajustes.

Firewall

Servidor MDM de tercerosServicio de noticacinpush de Apple


21/26

MDM y el servicio de noticacin push de Apple

Cuando un servidor MDM desea comunicarse con el iPhone o el iPad, se enva una

noticacin silenciosa al dispositivo a travs del servicio de noticacin push de Apple,

solicitando que se conecte al servidor. El proceso de noticacin del dispositivo no

enva ningn tipo de informacin condencial o del servicio de noticacin pushde Apple. La nica tarea que realiza la noticacin es despertar al dispositivo para

que se conecte al servidor MDM. Toda la informacin de conguracin, ajustes y

consultas es enviada directamente desde el servidor al dispositivo iOS a travs de

una conexin SSL/TLS encriptada entre el dispositivo y el servidor MDM. iOS maneja

todas las solicitudes y acciones de MDM en un segundo plano para limitar el impacto

en la experiencia del usuario, incluyendo la duracin de la batera, el desempeo y la

conabilidad.

Para que el servidor de noticaciones push reconozca los comandos del servidor MDM,

debe instalarse un primer certicado en el servidor. Este certicado debe ser solicitado

y descargado desde el Portal de Certicados Push de Apple. Una vez que el certicado

de noticacin push de Apple es cargado en el servidor de MDM, los dispositivos

pueden comenzar a registrarse.

Conguracin de la red de noticaciones push de Apple

Cuando los servidores MDM y los dispositivos IOS estn detrs del cortafuegos,

son necesarias algunas conguraciones de red para que el servicio MDM funcione

correctamente. Para enviar noticaciones desde un servidor MDM al servicio de

noticaciones push de Apple, el puerto TCP 2195 debe estar abierto. Para llegar

al servicio de informacin, el puerto TCP 2196 tambin debe estar abierto. Para

dispositivos que se conectan al servicio push a travs de Wi-Fi, el puerto TCP 5223

debe estar abierto.

El rango de direcciones IP para el servicio push est sujeto a cambios; la expectativa

es que un servidor MDM se conectar por nombre de host antes que por direccin IP.

El servicio push emplea un esquema de equilibrio de carga que genera una direccin

IP diferente para el mismo nombre de host. Este nombre es gateway.push.apple.

com (y gateway.sandbox.push.apple.com para el entorno de noticaciones push de

desarrollo). Adems, todo el bloque 17.0.0.0/8 est asignado a Apple, por lo que las

reglas del cortafuegos pueden ser establecidas para especicar ese rango.

Para ms informacin, consulta a tu proveedor de MDM o mira la Nota Tcnica

para Desarrolladores TN2265 en la Biblioteca para Desarrolladores de iOS en

http://developer.apple.com/library/ ios/#technotes/tn2265/_index.html.

Registro

Una vez que se conguran el servidor MDM y la red, el primer paso en la

administracin del iPhone o el iPad es registrarlos con un servidor MSM. Esto creauna relacin entre el dispositivo y el servidor, permitiendo que el dispositivo sea

administrado sin intervencin del usuario.

Esto puede ser realizado conectando el iPhone o el iPad a una computadora a

travs de USB, pero la mayora de las soluciones cuentan con un perl de registro

inalmbrico. Para comenzar este proceso, algunos proveedores de MDM usan una app,

y otros inician el registro dirigiendo a los usuarios a un portal web. Cada mtodo tiene

sus ventajas, y ambos son usados para iniciar el proceso de Over-the-Air Enrollment a

travs de Safari.

iOS and SCEP

iOS es compatible con el protocolo SCEP(Simple Certicate Enrollment Protocol).

SCEP es un borrador de Internet, el IETF, y

est diseado para proporcionar una forma

simplicada de manejar la distribucin de

certicados para implementaciones a gran

escala. Esto permite el registro inalmbrico

de los certicados de identidad para iPhone

e iPad, que pueden ser usados para la

autenticacin en los servicios corporativos.

21
http://developer.apple.com/library/ios/#technotes/tn2265/_index.htmlhttp://developer.apple.com/library/ios/#technotes/tn2265/_index.html


22/26

22

Descripcin del proceso de registro

El proceso de Over-the-Air Enrollment involucra fases que estn combinadas en

un ujo de trabajo automatizado, para brindar una manera segura de registrar

dispositivos dentro de la empresa. Estas fases son:

1. Autenticacin de usuariosLa autenticacin de usuario asegura que las solicitudes de registro entrantes

sean de usuarios autorizados y que la informacin del dispositivo del usuario sea

capturada antes de proceder al registro del certicado. Los administradores pueden

solicitar al usuario que inicie el proceso de registro a travs de un portal web, correo

electrnico, mensaje SMS o, incluso, una app.

2. Registro de certicados

Una vez autenticado el usuario, iOS genera una solicitud de registro del certicado

usando el SCEP (Simple Certicate Enrollment Protocol). Esta solicitud de registro se

comunica directamente con la Autoridad de Certicacin de la empresa, y habilita al

iPhone y al iPad para recibir el certicado de identidad en respuesta.

3. Conguracin de dispositivos

Una vez que se instala un certicado de identidad el dispositivo puede recibir

informacin de conguracin encriptada a travs del aire. Esta informacin slo

puede ser instalada en el dispositivo y contiene los ajustes necesarios para conectar

al servidor MDM.

Al nal del proceso de registro, el usuario ver una pantalla de instalacin que

describe los derechos de acceso al servidor MDM contenidos en el dispositivo.

Al aceptar la instalacin del perl el dispositivo del usuario es registrado

automticamente, sin necesidad de interaccin.

Una vez que el iPhone y el iPad estn registrados como dispositivos administrados

pueden ser congurados dinmicamente con los ajustes, consultados en busca de

informacin o eliminados de forma remota por el servidor MDM.

Conguracin

Para congurar un dispositivo con cuentas, polticas y restricciones, el servidor

MDM enva archivos, conocidos como perles de conguracin, al dispositivo, que

son instalados automticamente. Los perles de conguracin son archivos XML

que contienen ajustes, como informacin de cuenta, polticas de contraseas,

restricciones y otros ajustes del dispositivo, para que el dispositivo funcione con tus

sistemas empresariales. Cuando se combina con el proceso de registro discutido

previamente, la conguracin de dispositivos brinda al rea de TI la garanta de que

solamente los usuarios de conanza tienen acceso a los servicios corporativos, y que

sus dispositivos estn congurados correctamente con las polticas establecidas.


23/26

Adems, ya que los perles de conguracin pueden ser rmados y encriptados, los

ajustes no pueden ser alterados o compartidos con otros.

Ajustes congurables compatibles

Cuentas

Exchange ActiveSync Correo IMAP/POP

Wi-Fi

VPN

LDAP

CardDAV

CalDAV

Calendarios aceptados

Polticas de contrasea

Solicitud de contrasea en el dispositivo

Permiso de valor simple

Solicitud de valor alfanumrico

Extensin mnima de contrasea Nmero mnimo de caracteres complejos

Perodo mximo de contrasea

Tiempo antes del bloqueo automtico

Historial de contrasea

Perodo de gracia para bloqueo del

dispositivo

Nmero mximo de intentos fallidos

Seguridad y privacidad

Envo de datos de diagnstico a Apple

Aceptacin de certicados no conables

por parte del usuario

Ejecucin de copias de seguridadencriptadas

Otros ajustes

Credenciales

Clips web

Ajustes de SCEP

Ajustes de APN

Funcionalidad de dispositivos

Instalacin de apps Uso de la cmara

Uso de FaceTime

Captura de pantalla

Sincronizacin automtica durante la

itinerancia

Uso del marcado por voz

Compras dentro de apps

Solicitud de la contrasea de la tienda

para todas las compras

Juegos multijugadores

Agregado de amigos a Game Center

Aplicaciones Uso de YouTube

Uso de iTunes Store

Uso de Safari

Conguracin de preferencias de

seguridad de Safari

iCloud

Copias de seguridad

Sincronizacin de documentos y valores

claves

Uso de Fotos en streaming

Calicaciones de contenido

Habilitacin de msica y podcasts

explcitos

Denicin de regiones de calicaciones

Denicin de calicaciones de contenidos

permitidos

23


24/26

Consulta de dispositivos

Adems de congurar los dispositivos, el servidor MDM tiene la capacidad de consultar

diversa informacin en los dispositivos. Esta informacin puede ser usada para que los

productos sigan cumpliendo con las polticas necesarias.

Consultas compatibles

Informacin del dispositivo

Unique Device Identier (UDID)

Nombre del dispositivo

iOS y versin de iOS

Nombre y nmero del modelo

Nmero de serie

Capacidad y espacio disponible

IMEI

Firmware del mdem

Nivel de la batera

Informacin de red

ICCID

Direcciones de Bluetooth y Wi-Fi MAC

Red del operador actual

Red del operador del abonado

Versin de los ajustes del operador

Nmero de telfono

Ajuste de itinerancia de datos (on/o)

Informacin de cumplimiento y

seguridad

Perles de conguracin instalados

Certicados instalados con fecha de

expiracin

Lista de todas las restricciones

aplicadas

Capacidad de encriptacin de

hardware

Presentacin de contrasea

Aplicaciones Aplicaciones instaladas (ID, nombre,

versin, tamao y tamao de datos)

Aprovisionamiento de perles

instalados con fechas de expiracin

Administracin

Con la Administracin de Dispositivos Mviles, hay una serie de funciones de un

servidor MDM que se pueden realizar en los dispositivos iOS. Estas tareas incluyen lainstalacin y la eliminacin de los perles de conguracin y aprovisionamiento, la

administracin de apps, la nalizacin de la relacin del MDM y el borrado remoto de

un dispositivo.

Ajustes administrados

Durante el proceso inicial de conguracin de un dispositivo, el servidor MDM enva

perles de conguracin al iPhone y el iPad, que son instalados en un segundo

plano. Con el tiempo, los ajustes y las polticas aplicadas en el momento del registro

pueden tener que ser actualizados o cambiados. Para realizar estos cambios, un

servidor MDM puede instalar nuevos perles de conguracin, y modicar o eliminar

perles existentes en cualquier momento. Adems, es posible tener que instalar las

conguraciones especcas del contexto en los dispositivos iOS, dependiendo de la

ubicacin de un usuario o su rol en la organizacin. Por ejemplo, si un usuario estviajando a otro pas, el servidor MDM puede requerir que las cuentas de correo sean

sincronizadas manualmente, y no automticamente. Incluso, el servidor MDM puede

deshabilitar de forma remota los servicios de voz y datos para evitar que un usuario

incurra en cargos por itinerancia de un proveedor de servicios inalmbricos.

Apps administradas

Un servidor MDM puede administrar apps de terceros en el App Store, as como apps

internas de la empresa. La designacin de una app como administrada permite que

el servidor especique si la app y sus datos pueden ser eliminados del dispositivo

por el servidor MDM. Adems, el servidor MDM puede evitar que los datos de la app

administrada sean respaldados en iTunes e iCloud.

24


25/26

25

Para instalar una app administrada, el servidor MDM envia un comando de

instalacin al dispositivo del usuario. Las apps administradas requieren la aceptacin

del usuario previo a ser instaladas. Cuando un servidor MDM solicita la instalacin

de una app administrada desde el App Store, la app ser canjeada con la cuenta de

iTunes utilizada en el momento de instalar la app.

Eliminacin o borrado de dispositivos

Si un dispositivo se encuentra fuera de poltica, se ha perdido o fue robado, o si un

empleado deja la empresa, un servidor MDM puede tomar medidas para proteger la

informacin corporativa de varias maneras.

Un administrador de TI puede terminar la relacin de MDM con un dispositivo

mediante la eliminacin del perl de conguracin que contiene la informacin del

servidor MDM. De ese modo, se quitan todas las cuentas, ajustes y apps que eran

responsables por la instalacin. Alternativamente, el rea de TI puede mantener el

perl de conguracin MDM en el lugar y usar MDM slo para quitar los perles de

conguracin, perles de aprovisionamiento y las apps administradas especcas

que desea eliminar. Este enfoque mantiene al dispositivo administrado por MDM y

elimina la necesidad de volver a registrarlo una vez que est dentro de la poltica.

Ambos mtodos brindan al rea de TI la capacidad de asegurar que la informacin

nicamente est disponible para los usuarios y dispositivos compatibles, y garantiza

que los datos corporativos sean quitados sin interferir con los datos personales del

usuario, tales como msica, fotos o apps personales.

Para eliminar denitivamente todos los contenidos y datos en el dispositivo, y

restaurar los ajustes de fbrica, MDM puede borrar el iPhone y el iPad de forma

remota. Si un usuario sigue buscando el dispositivo el rea de TI tambin puede

optar por enviar un comando de bloqueo remoto al dispositivo. Esto bloquea la

pantalla y solicita la contrasea del usuario para desbloquearlo.

Si un usuario ha olvidado la contrasea, el servidor MDM puede eliminarla desde el

dispositivo y pedir al usuario que cree una nueva en un plazo de 60 minutos.

Comandos de administracin compatibles

Ajustes administrados

Instalacin de perl de conguracin

Eliminacin de perl de conguracin

Itinerancia de datos

Itinerancia de voz (no est disponible en todos los operadores)

Apps administradas

Instalacin de app administrada

Eliminacin de app administrada

Mostrar todas las apps administradas

Instalacin de perl de aprovisionamiento

Eliminacin de perl de aprovisionamiento

Comandos de seguridad

Borrado remoto

Bloqueo remoto

Limpiar contrasea


26/26

Firewall

Servidor MDM de tercerosServidor de noticacionespush de Apple

1

2

4

3

5

2011 Apple Inc Todos los derechos reservados Apple el logo de Apple FaceTime iPad iPhone iTunes y Safari son marcas comerciales de Apple Inc registradas en los EE UU y en o tros pases iCloud e iTunes

1

2

3

4

5

Descripcin del proceso

Este ejemplo describe una implementacin bsica de un servidor de administracin de dispositivos mviles.

Un perl de conguracin que contiene la informacin del servidor de administracin de dispositivos mviles es enviado al

dispositivo. El usuario recibe la informacin sobre qu ser administrado y/o consultado por el servidor.

El usuario instala el perl a ser incluido en el dispositivo administrado.

El registro del dispositivo tiene lugar a medida que el perl es instalado. El servidor valida el dispositivo y permite el acceso.

El servidor enva una noticacin push que lleva al dispositivo a vericar tareas o consultas.

El dispositivo se conecta directamente al servidor sobre HTTPS. El servidor enva comandos o solicita informacin.

26

iPad Para La Empresa

Documents

Transcript of iPad Para La Empresa