Guía de referencia técnica para la implantación de ios

Transcripción

1 Guía de referencia técnica para la implantación de ios ios 7.1 Mayo de 2014

2 Contenido Página 3 Introducción Página 4 Capítulo 1: Integración Página 4 Exchange de Microsoft Página 6 Servicios basados en estándares Página 6 Wi-Fi Página 7 Redes privadas virtuales Página 13 VPN individual por app Página 13 Inicio de sesión único (SSO) Página 14 Certificados digitales Página 15 Bonjour Página 16 Capítulo 2: Seguridad Página 16 Seguridad de los dispositivos Página 18 Cifrado y protección de datos Página 20 Seguridad de la red Página 20 Seguridad de las apps Página 21 Servicios de Internet Página 23 Capítulo 3: Configuración y gestión Página 23 Configuración inicial y activación de dispositivos Página 24 Perfiles de configuración Página 24 Gestión de dispositivos móviles (MDM) Página 27 Supervisión de dispositivos Página 29 Capítulo 4: Distribución de apps Página 29 Programa de Compras por Volumen Página 31 Apps B2B personalizadas Página 31 Apps internas Página 33 Implantación de apps Página 34 Servidor Almacenamiento en Caché Página 35 Anexo A: Infraestructura Wi-Fi Página 38 Anexo B: Restricciones Página 40 Anexo C: Instalación inalámbrica de apps internas 2

3 Introducción Esta guía está dirigida a los administradores de TI que quieren integrar dispositivos ios en sus redes. Ofrece información sobre la implantación y soporte del iphone, ipad y ipod touch en organizaciones de gran tamaño, como empresas o centros educativos. Explica cómo los dispositivos ios proporcionan un completo entorno de seguridad, integración con la infraestructura existente y herramientas de implantación eficaces. Conocer las tecnologías clave compatibles con ios te ayudará a desarrollar una estrategia de implantación que proporcione a tus usuarios una experiencia óptima. Puedes usar los siguientes capítulos como guía técnica a la hora de implantar dispositivos ios en tu organización: Integración. Los dispositivos ios son compatibles de serie con una amplia gama de infraestructuras de red. En este apartado, aprenderás sobre las tecnologías admitidas por ios y prácticas recomendadas para su integración con Exchange de Microsoft, Wi-Fi, VPN y otros servicios estándar. Seguridad. ios está diseñado para acceder a servicios empresariales de forma segura y proteger datos importantes. ios ofrece cifrado sólido en la transmisión de datos y métodos de autenticación acreditados para acceder a servicios corporativos. Además, todos los datos almacenados en el dispositivo se cifran por hardware. Lee este capítulo para ampliar tus conocimientos sobre las prestaciones de seguridad de ios. Configuración y gestión. ios admite tecnologías y herramientas avanzadas para simplificar diversas tareas, como por ejemplo definir los ajustes de los dispositivos ios, configurarlos de acuerdo con tus requisitos y gestionarlos a gran escala. Este capítulo describe las distintas herramientas disponibles para la implantación y también incluye una descripción general de la gestión de dispositivos móviles (MDM). Distribución de apps. Existen varias formas de implantar apps y contenido en una organización. Los programas de Apple como el Programa de Compras por Volumen y el programa Enterprise para desarrolladores de ios permiten a tu organización comprar, crear e implantar apps para usuarios internos. Lee este capítulo para conocer en profundidad estos programas y aprender a implantar apps compradas o creadas para uso interno. Los siguientes anexos describen otros requisitos y detalles técnicos: Infraestructura Wi-Fi. Detalles sobre los estándares Wi-Fi admitidos por ios y aspectos importantes para la planificación de una red Wi-Fi a gran escala. Restricciones. Detalles sobre las restricciones que puedes aplicar para configurar los dispositivos ios de acuerdo con tus políticas de seguridad, código y otros requisitos. Instalación inalámbrica de apps internas. Detalles y requisitos sobre la distribución de apps internas usando tu propio portal web. Otros recursos Encontrarás información útil en los siguientes sitios web:

4 Capítulo 1: Integración Los dispositivos ios son compatibles de serie con una amplia gama de infraestructuras de red. Admiten las siguientes opciones: Sistemas de terceros ampliamente utilizados, como Exchange de Microsoft Integración con sistemas estándar de correo, directorio y calendario, entre otros Protocolos Wi-Fi estándar para transmisión y cifrado de datos Redes privadas virtuales (VPN), incluida la VPN individual por app Inicio de sesión único para optimizar la autenticación en servicios y apps de red Certificados digitales para autenticar a los usuarios y proteger las comunicaciones Como esta compatibilidad está incluida en ios, tu departamento de TI solo necesita configurar unos cuantos ajustes para integrar los dispositivos ios en la infraestructura que ya tienes. Sigue leyendo para informarte sobre las tecnologías compatibles con ios y las prácticas recomendadas para la integración. Exchange de Microsoft ios se puede comunicar directamente con tu Exchange Server de Microsoft a través de Exchange ActiveSync (EAS) de Microsoft y ofrecer correo electrónico, contactos, calendarios, notas y tareas de actualización automática push. Exchange ActiveSync también permite al usuario acceder a la lista global de direcciones (GAL) y ofrece al administrador funciones de borrado remoto y de imposición de políticas de códigos. ios es compatible con la autenticación básica y por certificado de Exchange ActiveSync. Si tu empresa utiliza Exchange ActiveSync, ya dispone de los servicios necesarios para integrar ios. No hace falta ninguna configuración adicional. Requisitos Los dispositivos con ios 7 o posterior son compatibles con las siguientes versiones de Exchange de Microsoft: Exchange Server 2003 SP 2 (EAS 2.5) Exchange Server 2007 (con EAS 2.5) Exchange Server 2007 SP 1 (EAS 12.1) Exchange Server 2007 SP 2 (EAS 12.1) Exchange Server 2007 SP 3 (EAS 12.1) Exchange Server 2010 (EAS 14.0) Exchange Server 2010 SP 1 (EAS 14.1) Exchange Server 2010 SP 2 (con EAS 14.1) Exchange Server 2013 (con EAS 14.1) Office 365 (con EAS 14.1) Direct Push de Microsoft Exchange Server envía automáticamente el correo electrónico, tareas, contactos y eventos de calendarios a los dispositivos ios si hay disponible una conexión de datos Wi-Fi o móvil. El ipod touch y algunos modelos de ipad no 4

5 tienen conexión móvil, así que solo reciben las notificaciones push cuando están conectados a una red Wi-Fi. Servicio Detección Automática de Exchange de Microsoft Los dispositivos ios son compatibles con el servicio Detección Automática de Exchange Server 2007 y Exchange Server 2010 de Microsoft. Cuando se configura un dispositivo manualmente, la función Detección Automática utiliza tu dirección de correo electrónico y contraseña para determinar la información correcta de Exchange Server. Si quieres más información sobre cómo se activa el servicio Detección Automática, consulta Servicio de detección automática. Lista global de direcciones de Exchange de Microsoft Los dispositivos ios obtienen la información de contacto del directorio corporativo de Exchange Server de tu empresa. Puedes acceder al directorio cuando buscas en Contactos, y el sistema hace consultas automáticas para completar las direcciones de correo electrónico mientras las escribes. ios 6 o posterior admite fotos de la GAL (requiere Exchange Server 2010 SP 1 o posterior). Prestaciones de Exchange ActiveSync incompatibles No se admiten las siguientes prestaciones de Exchange: Apertura en un correo electrónico de enlaces a documentos almacenados en servidores SharePoint Configuración de mensajes de respuesta automática del tipo «fuera de la oficina» Identificación de versiones de ios vía Exchange Cuando un dispositivo ios se conecta a un Exchange Server, el dispositivo informa de la versión de ios que está utilizando. El número de versión se envía en el campo Agente de Usuario del encabezado de solicitud con un formato similar a Apple-iPhone2C1/ El número que aparece después del delimitador (/) es el número de compilación de ios, que es distinto para cada versión de ios. Para ver el número de compilación en un dispositivo, entra en Ajustes > General > Información. Aquí verás el número de versión y el número de compilación del software instalado, por ejemplo, 4.1 (8B117A). El número entre paréntesis es el número de compilación, que identifica la versión que está utilizando el dispositivo. Cuando se envía el número de compilación al Exchange Server, se convierte al formato de Exchange: de NANNNA (donde N es un valor numérico y A es un carácter alfabético) pasa a NNN.NNN. Los valores numéricos se mantienen sin cambios, pero las letras se convierten en números en función de su posición en el alfabeto. Por ejemplo, «F», que es la sexta letra del alfabeto, pasa a ser «06». Los números se rodean de ceros, si es necesario, para adaptarse al formato de Exchange. En este ejemplo, el número de compilación 7E18 se convierte en El primer número, 7, se queda en «7». El carácter E, que es la quinta letra del alfabeto, se convierte en «05». Por exigencias del formato, se inserta un punto (.) en la versión convertida. Al siguiente número, el 18, se le añade un cero y se convierte en «018». Si el número de compilación acaba con una letra, como en 5H11A, el número se convierte del modo descrito anteriormente y el valor numérico del carácter final se añade al número convertido separado por tres ceros, de forma que 5H11A pasa a ser Borrado remoto Puedes usar funciones de Exchange para borrar a distancia el contenido de un dispositivo ios. Al utilizar esta función, se borran todos los datos e información 5

6 de configuración del dispositivo y se restauran los ajustes de fábrica originales del dispositivo de forma segura. El borrado elimina la clave de cifrado de los datos (encriptada mediante el sistema de encriptación AES de 256 bits), lo que hace que todos los datos resulten irrecuperables de forma inmediata. Con Exchange Server 2007 o posterior de Microsoft, puedes realizar un borrado remoto mediante la Consola de Administración de Exchange, Outlook Web Access o la herramienta de administración web de servicios móviles de Exchange ActiveSync. Con Exchange Server 2003 de Microsoft es posible iniciar un borrado remoto mediante la herramienta Exchange ActiveSync Mobile Administration Web Tool. Opcionalmente, los usuarios pueden borrar su propio dispositivo accediendo a Ajustes > General > Restablecer y seleccionando Borrar Contenidos y Ajustes. Los dispositivos también pueden configurarse para someterse a un borrado automático tras un número de intentos fallidos de introducción del código. Servicios basados en estándares Gracias a su compatibilidad con el protocolo de correo IMAP, los servicios de directorio LDAP y los protocolos de calendarios CalDAV y de contactos CardDAV, ios puede integrarse prácticamente en cualquier entorno basado en estándares. Si el entorno de red está configurado para exigir la autenticación del usuario y emplear la seguridad SSL, ios ofrece un método seguro para acceder al correo, calendarios, tareas y contactos de la empresa basados en estándares. Si se usa SSL, ios admite el cifrado de 128 bits y los certificados raíz X.509 de las principales entidades certificadoras. En una implantación típica, los dispositivos ios establecen acceso directo a los servidores de correo IMAP y SMTP para recibir y enviar correo inalámbricamente, y también pueden sincronizar notas con servidores IMAP de forma inalámbrica. Los dispositivos ios pueden conectarse a los directorios corporativos LDAPv3 de la empresa, permitiendo así que los usuarios accedan a los contactos corporativos en las aplicaciones Mail, Contactos y Mensajes. La sincronización con el servidor CalDAV permite a los usuarios crear y aceptar invitaciones a calendarios, recibir actualizaciones de calendarios y sincronizar tareas con la app Recordatorios, todo ello inalámbricamente. Además, gracias a la compatibilidad con CardDAV, los usuarios pueden mantener un grupo de contactos sincronizado con el servidor CardDAV empleando el formato vcard. Todos los servidores de red se pueden ubicar en una subred DMZ, detrás de un firewall corporativo o en ambos. Wi-Fi De serie, los dispositivos ios se conectan de forma segura a redes Wi-Fi corporativas o de invitados, lo que permite a los usuarios acceder a las redes inalámbricas disponibles de forma rápida y sencilla, ya estén en las instalaciones de la empresa o de viaje. Conexión a redes Wi-Fi Los usuarios pueden configurar los dispositivos ios para que accedan automáticamente a las redes Wi-Fi disponibles. Se puede acceder rápidamente a las redes Wi-Fi que requieran credenciales de inicio de sesión u otra información sin necesidad de abrir una sesión de navegador aparte, desde los ajustes Wi-Fi o con apps como Mail. Además, la conectividad Wi-Fi persistente de bajo consumo permite a las apps usar las redes Wi-Fi para enviar notificaciones push. 6

7 WPA2 Enterprise ios admite protocolos estándar de redes inalámbricas, incluido WPA2 Enterprise, lo que permite acceder a redes inalámbricas corporativas desde dispositivos ios de forma segura. WPA2 Enterprise emplea cifrado AES de 128 bits, un método basado en bloques ampliamente acreditado que ofrece el máximo nivel de seguridad para los datos del usuario. ios es compatible con 802.1X y puede integrarse en un amplio abanico de entornos de autenticación RADIUS. ios admite los métodos de autenticación inalámbrica 802.1X EAP-TLS, EAP-TTLS, EAP-FAST, PEAPv0, PEAPv1 y LEAP. Itinerancia Para conectarse a redes Wi-Fi de grandes empresas, ios admite k y r k facilita la transición de los dispositivos ios entre puntos de acceso Wi-Fi mediante el uso de los informes de dichos puntos, mientras que r agiliza la autenticación 802.1X cuando un dispositivo pasa de un punto de acceso a otro. Para acelerar la configuración y la implantación, los ajustes de redes inalámbricas, seguridad, proxy y autenticación se pueden establecer mediante perfiles de configuración o MDM. Redes privadas virtuales ios ofrece acceso seguro a redes corporativas privadas mediante protocolos de red privada virtual (VPN) estándar. ios es compatible de serie con IPSec de Cisco, L2TP sobre IPSec y PPTP. Si tu organización admite uno de estos protocolos, no necesitas ningún tipo adicional de configuración ni apps de terceros para conectar dispositivos ios a tu VPN. Además, ios admite redes VPN sobre SSL de proveedores acreditados. Para empezar a trabajar, los usuarios solo necesitan descargar del App Store una app cliente de VPN desarrollada por una de estas empresas. Al igual que el resto de protocolos de VPN de ios, el acceso a redes VPN sobre SSL se puede configurar manualmente en el dispositivo, o bien mediante perfiles de configuración o MDM. ios admite tecnologías estándar como IPv6, servidores proxy y túneles divididos, por lo que conectarse a las redes VPN de empresa resulta de lo más cómodo y sencillo. Además, es compatible con diversos métodos de autenticación, como el uso de contraseñas, tokens de doble factor y certificados digitales. Con el fin de optimizar la conexión en entornos en los que se usa la autenticación basada en certificados, ios incluye VPN por petición, que inicia una sesión de VPN cuando hace falta para conectarse a determinados dominios. Con ios 7, el usuario puede configurar apps individuales para que usen una conexión VPN independiente del resto de apps del dispositivo. De este modo se garantiza que los datos corporativos siempre se transmitan a través de una conexión VPN, al contrario que otros datos, como los correspondientes a las apps personales que el empleado pueda haber descargado del App Store. Si quieres más información, consulta el apartado «VPN individual por app», en este mismo capítulo. Protocolos y métodos de autenticación compatibles VPN sobre SSL. Es compatible con la autenticación de usuario por contraseña, token de doble factor y certificados. IPSec de Cisco. Es compatible con la autenticación de usuario por contraseña, token de doble factor, autenticación de equipo mediante secreto compartido y certificados. L2TP sobre IPSec. Es compatible con la autenticación de usuario por contraseña MS-CHAP v2, token de doble factor y autenticación de equipo mediante secreto compartido. 7

8 PPTP. Es compatible con la autenticación de usuario por contraseña MS- CHAP v2 y token de doble factor. Clientes de VPN sobre SSL Varios proveedores de VPN sobre SSL han creado apps para facilitar la configuración de dispositivos ios para que usen sus soluciones. Para configurar un dispositivo para una solución específica, instala la app correspondiente y, opcionalmente, proporciona un perfil de configuración con los ajustes necesarios. Entre las soluciones de VPN sobre SSL figuran: VPN sobre SSL Junos Pulse de Juniper. Los dispositivos ios son compatibles con la versión 6.4 o posterior de puerta de enlace VPN sobre SSL de la serie SA de Juniper Networks con el paquete 7.0 o posterior del IVE de Juniper Networks. Para la configuración, instala la app Junos Pulse, disponible en el App Store. Si quieres más información, consulta la nota sobre la aplicación de Juniper Networks. VPN sobre SSL de F5. ios admite las soluciones de VPN sobre SSL BIG-IP Edge Gateway, Access Policy Manager y FirePass de F5. Para la configuración, instala la app BIG-IP Edge Client de F5, disponible en el App Store. Si quieres más información, consulta la nota técnica de F5 Acceso seguro a aplicaciones web de empresa desde el iphone. VPN sobre SSL de Aruba Networks. Los dispositivos ios son compatibles con los controladores de movilidad de Aruba Networks. Para la configuración, instala la app VIA de Aruba Networks, disponible en el App Store. Puedes consultar la información de contacto en el sitio web de Aruba Networks. VPN sobre SSL de SonicWALL. Los dispositivos ios son compatibles con equipos Aventail E-Class Secure Remote Access de SonicWALL con o posterior, equipos SRA de SonicWALL con 5.5 o posterior y equipos Next- Generation Firewall de SonicWALL (como TZ, NSA y E-Class NSA) con SonicOS o posterior. Para la configuración, instala la app Mobile Connect de SonicWALL, disponible en el App Store. Puedes consultar la información de contacto en el sitio web de SonicWALL. VPN sobre SSL de Check Point. Los dispositivos ios son compatibles con Security Gateway de Check Point con un túnel VPN completo de capa 3. Para la configuración, instala la app Mobile de Check Point, disponible en el App Store. VPN sobre SSL de OpenVPN. ios es compatible con Access Server, Private Tunnel y Community de OpenVPN. Para la configuración, instala la app Connect de OpenVPN, disponible en el App Store. VPN sobre SSL GlobalProtect de Palo Alto Networks ios admite la puerta de enlace GlobalProtect de Palo Alto Networks. Para la configuración, instala la app GlobalProtect for ios, disponible en el App Store. VPN sobre SSL AnyConnect de Cisco. ios es compatible con Adaptive Security Appliance (ASA) de Cisco con la versión 8.0(3).1 o posterior de la imagen de software. Para la configuración, instala la app AnyConnect de Cisco, disponible en el App Store. Pautas de configuración de una VPN Pautas de configuración de IPSec de Cisco Sigue estas directrices para configurar un servidor de VPN de Cisco compatible con los dispositivos ios. ios es compatible con los dispositivos de seguridad ASA 5500 y los firewalls PIX de Cisco configurados con la versión de software 7.2.x o posterior. Se recomienda utilizar la versión más reciente disponible (8.0.x o posterior). ios también es compatible con los routers VPN IOS de Cisco 8

9 con la versión 12.4(15)T o posterior de IOS. En cambio, los concentradores de VPN de la serie 3000 no son compatibles con las funciones de VPN de ios. Configuración del proxy También puedes especificar un proxy de VPN para todas las configuraciones. Para configurar un único proxy para todas las conexiones, usa el ajuste Manual e introduce la dirección, el puerto y la autenticación, si es preciso. Para proporcionar al dispositivo un archivo de configuración auto-proxy con PAC o WPAD, usa el ajuste Automático. Para PACS, especifica la URL del archivo PACS. Para WPAD, ios solicita a DHCP y DNS los ajustes apropiados. Métodos de autenticación ios es compatible con los siguientes métodos de autenticación: Autenticación IPSec de clave precompartida con autenticación de usuario mediante xauth. Certificados de cliente y servidor para autenticación IPSec, con autenticación opcional de usuario mediante xauth. Autenticación híbrida, en la que el servidor proporciona un certificado y el cliente proporciona una clave precompartida para la autenticación IPSec. Se requiere la autenticación de usuario mediante xauth. La autenticación de usuario se proporciona mediante xauth e incluye los siguientes métodos: Nombre de usuario con contraseña SecurID de RSA CRYPTOCard Grupos de autenticación El protocolo Cisco Unity utiliza grupos de autenticación para agrupar a los usuarios según conjuntos comunes de parámetros de autenticación y otros parámetros. Debes crear un grupo de autenticación para los usuarios de ios. En los casos de la autenticación híbrida y mediante clave precompartida, el nombre del grupo debe configurarse en el dispositivo, empleando el secreto compartido del grupo (la clave precompartida) como contraseña para el grupo. Al utilizar autenticación por certificado, no se emplea secreto compartido. Un grupo del usuario se determina según los campos del certificado. Se pueden utilizar los ajustes del servidor Cisco para vincular campos de un certificado a grupos de usuarios. RSA-Sig debe ser la máxima prioridad de la lista de prioridades ISAKMP. Certificados Al configurar e instalar certificados, asegúrate de lo siguiente: El certificado de identidad del servidor debe contener el nombre DNS y/o la dirección IP del servidor en el campo de nombre alternativo (SubjectAltName). El dispositivo emplea esta información para verificar que el certificado pertenece al servidor. Si quieres más flexibilidad, puedes especificar el SubjectAltName empleando caracteres comodín en algunos segmentos, como por ejemplo «vpn.*.miempresa.com». Si no se ha especificado un SubjectAltName, puedes introducir el nombre DNS en el campo del nombre común. Es necesario instalar en el dispositivo el certificado de la autoridad de certificación que firmó el certificado del servidor. Si no se trata de un certificado raíz, instala el resto de la cadena de confianza para que el certificado sea aprobado. Si empleas certificados de cliente, asegúrate de que el certificado de confianza de la autoridad de certificación que firmó el del cliente esté instalado en el servidor de VPN. Al utilizar la autenticación mediante certificados, asegúrate de que el servidor esté configurado para identificar el grupo del usuario según los campos del certificado cliente. 9

10 Los certificados y autoridades de certificación deben ser válidos (no pueden haber caducado, por ejemplo). No es posible enviar cadenas de certificados por parte del servidor, por lo que esta opción debe desactivarse. Ajustes de IPSec Utiliza los siguientes ajustes de IPSec: Modo. Túnel. Modos IKE. Modo Agresivo de autenticación con clave precompartida e híbrida, o modo Principal para la autenticación mediante certificado. Algoritmos de cifrado. 3DES, AES-128 y AES-256. Algoritmos de autenticación. HMAC-MD5 y HMAC-SHA1. Grupos Diffie-Hellman. Para la autenticación por clave precompartida e híbrida se requiere el grupo 2. Para la autenticación mediante certificado, utiliza el grupo 2 con 3DES y AES-128. Utiliza los grupos 2 o 5 con AES-256. PFS (Perfect Forward Secrecy). En IKE - Fase 2, si se utiliza PFS, el grupo Diffie-Hellman debe ser el mismo que para IKE - Fase 1. Configuración del modo. Debe estar activado. Detección de extremo muerto (Dead Peer Detection). Recomendado. NAT traversal estándar. Es compatible y puede activarse (no puede utilizarse IPSec sobre TCP). Equilibrio de carga. Es compatible y puede activarse. Cambio de claves de Fase 1. No es compatible en este momento. Se recomienda ajustar los tiempos de cambio de claves en el servidor a una hora. Máscara de direcciones ASA. Comprueba que las máscaras de grupos de direcciones de dispositivos no estén definidas, o bien que estén definidas como Por ejemplo: asa(config-webvpn)# ip local pool vpn_users mask Si utilizas la máscara de direcciones recomendada, puede que se omitan algunas rutas asumidas por la configuración VPN. Para evitarlo, asegúrate de que tu tabla de enrutamiento contiene todas las rutas necesarias y comprueba que las direcciones de subred son accesibles antes de la implantación. Otras prestaciones compatibles Versión de software. La versión del software cliente se envía al servidor, lo que permite a este aceptar o rechazar conexiones según la versión del software del dispositivo. Insignia. La insignia (si está configurada en el servidor) se muestra en el dispositivo y el usuario debe aceptarla o desconectarse. Túnel dividido. El túnel dividido es compatible. DNS dividido. El DNS dividido es compatible. Dominio por omisión. El dominio por omisión es compatible. VPN por petición Con VPN por petición, ios puede establecer automáticamente una conexión segura sin intervención del usuario. La conexión VPN se inicia cuando es necesaria en función de las reglas definidas en un perfil de configuración. En ios 7, VPN por petición se configura usando la clave OnDemandRules en una carga útil de VPN de un perfil de configuración. Las reglas se aplican en dos fases: Fase de detección de red. Define requisitos de VPN que se aplican cuando cambia la conexión de red principal del dispositivo. 10

11 Fase de evaluación de conexión. Define requisitos de VPN para solicitudes de conexión a nombres de dominio cuando es necesario. Por ejemplo, se pueden usar reglas para: Identificar cuándo un dispositivo ios está conectado a una red interna y la conexión VPN es innecesaria. Identificar cuándo se está usando una red Wi-Fi desconocida y exigir el uso de una conexión VPN para toda la actividad de red. Requerir una conexión VPN cuando falla una solicitud DNS para un nombre de dominio específico. Fase de detección de red Las reglas de VPN por petición se evalúan cuando cambia la interfaz de red principal del dispositivo. Esto ocurre, por ejemplo, cuando un dispositivo ios pasa a otra red Wi-Fi, o cuando cambia de conexión Wi-Fi a móvil. Si la interfaz principal es una interfaz virtual, como por ejemplo una interfaz VPN, las reglas de VPN por petición no surten efecto. Todas las reglas de coincidencia de cada grupo (diccionario) deben cumplirse para que se realice la acción asociada. Si alguna de las reglas no se cumple, la evaluación pasa al siguiente diccionario de la matriz, hasta que se agota la matriz OnDemandRules. El último diccionario debe definir una configuración «por defecto»; es decir, no debe incluir ninguna regla de coincidencia, solo una clave Action. De este modo la acción se aplicará a todas las conexiones que no hayan cumplido las reglas precedentes. Fase de evaluación de conexión La conexión VPN se puede activar cuando haga falta de acuerdo con las solicitudes de conexión a determinados dominios, en lugar de realizar conexiones y desconexiones de forma unilateral en función de la interfaz de red. Reglas de coincidencia por petición Especifica una o más de las siguientes reglas de coincidencia: InterfaceTypeMatch. Opcional. Un valor de cadena de conexión Wi-Fi o móvil. Si se especifica, esta regla se cumplirá cuando el hardware de la interfaz principal sea del tipo especificado. SSIDMatch. Opcional. Una matriz de SSID para validar la red actual. La regla no se cumplirá si la red no es Wi-Fi o si su SSID no figura en la lista. Omite esta clave y su matriz para ignorar el SSID. DNSDomainMatch. Opcional. Una matriz de dominios de búsqueda como cadenas. Esta propiedad cumplirá la regla si el dominio de búsqueda DNS configurado en la red principal actual está incluido en la matriz. Puedes usar un prefijo comodín (*); por ejemplo, *.ejemplo.com coincidiría con loquesea.ejemplo.com. DNSServerAddressMatch. Opcional. Una matriz de direcciones de servidores DNS como cadenas. Esta propiedad cumplirá la regla si todas las direcciones de los servidores DNS actualmente configurados para la interfaz principal están en la matriz. Puedes usar un prefijo comodín (*); por ejemplo, * coincidiría con todos los servidores DNS que lleven el prefijo URLStringProbe. Opcional. Un servidor para sondear la accesibilidad. No se admite el redireccionamiento. La URL debe apuntar a un servidor HTTPS de confianza. El dispositivo envía una solicitud GET para verificar la accesibilidad del servidor. Action Esta clave define el comportamiento de VPN cuando se cumplen todas las reglas de coincidencia especificadas. Esta clave es obligatoria. La clave Action admite estos valores: 11

12 Connect. Inicia la conexión VPN de forma incondicional la siguiente vez que se intenta una conexión de red. Disconnect. Interrumpe la conexión VPN y no activa más conexiones por petición. Ignore. Mantiene las conexiones VPN existentes, pero no activa más conexiones por petición. Allow. Para dispositivos con ios 6 o anterior. Consulta «Notas sobre la compatibilidad regresiva», más adelante en este apartado. EvaluateConnection. Evalúa la clave ActionParameters de cada intento de conexión. Cuando se usa, la clave ActionParameters, descrita a continuación, es obligatoria para especificar las reglas de evaluación. ActionParameters Una matriz de diccionarios con las claves descritas a continuación, evaluadas en el orden en el que se producen. Esta clave es obligatoria si Action es EvaluateConnection. Domains. Clave obligatoria. Una matriz de cadenas que definen los dominios a los que se aplica esta evaluación. Se admiten prefijos comodín, como *.ejemplo.com. DomainAction. Clave obligatoria. Define el comportamiento de VPN para la clave Domains. La clave DomainAction admite estos valores: ConnectIfNeeded. Activa la VPN si falla la resolución de DNS para Domains, por ejemplo cuando el servidor DNS indica que no puede resolver el nombre de dominio, la respuesta DNS es redireccionada, la conexión falla o el tiempo se agota. NeverConnect. No activa la VPN para Domains. Si DomainAction es ConnectIfNeeded, también puedes especificar las siguientes claves en el diccionario de evaluación de conexiones: RequiredDNSServers. Clave opcional. Una matriz de direcciones IP de servidores DNS para resolver la clave Domains. No es necesario que estos servidores formen parte de la configuración de red actual del dispositivo. Si estos servidores DNS no están accesibles, se activa la VPN. Configura un servidor DNS interno o un servidor DNS externo de confianza. RequiredURLStringProbe. Clave opcional. Una URL HTTP o HTTPS (opción preferida) para sondear mediante una solicitud GET. Si la resolución de DNS para este servidor tiene éxito, el sondeo también debe ser satisfactorio. Si el sondeo falla, se activa la VPN. Notas sobre la compatibilidad regresiva Antes de ios 7, las reglas de activación de dominio se configuraban mediante las matrices de dominios OnDemandMatchDomainAlways, OnDemandMatchDomainOnRetry y OnDemandMatchDomainNever. ios 7 sigue admitiendo los casos OnRetry y Never, aunque se da prioridad a la acción EvaluateConnection. Para crear un perfil válido para ios 7 y versiones anteriores, usa las nuevas claves EvaluateConnection, además de las matrices OnDemandMatchDomain. Las versiones anteriores de ios que no reconocen EvaluateConnection usarán las matrices antiguas, mientras que ios 7 y las versiones posteriores usarán EvaluateConnection. Los perfiles de configuración antiguos que especifiquen la acción Allow funcionarán en ios 7, con la excepción de los dominios OnDemandMatchDomainsAlways. 12

13 VPN individual por app ios 7 añade la posibilidad de establecer conexiones VPN específicas para cada app. Este enfoque ofrece un control más detallado sobre qué datos usan la VPN. Cuando la VPN se aplica al dispositivo de forma general, todos los datos se transmiten por la red privada, sin importar su origen. A medida que va creciendo el número de dispositivos personales usados en las empresas, la VPN individual por app ofrece acceso seguro a redes para apps de uso interno, al tiempo que se protege la privacidad del uso personal de los dispositivos. VPN individual por app permite que cada app controlada mediante gestión de dispositivos móviles (MDM) se comunique con la red privada a través de un túnel seguro, cosa que no pueden hacer las apps no gestionadas del dispositivo. Además, las apps gestionadas se pueden configurar con distintas conexiones VPN para reforzar la protección de los datos. Por ejemplo, una app de presupuestos podría usar un centro de datos distinto que una app de cuentas por pagar, mientras que el tráfico web personal del usuario utiliza la red Internet pública. Esta posibilidad de segregar el tráfico en la capa de apps permite separar los datos personales de los datos que pertenecen a la organización. Para usar VPN individual por app, la app tiene que estar gestionada con MDM y debe usar las API de redes estándar de ios. VPN individual por app se define mediante una configuración MDM que especifica qué apps y dominios de Safari pueden usar los ajustes. Si quieres más información, consulta el capítulo 3, «Configuración y gestión». Inicio de sesión único (SSO) Con ios 7, las apps pueden aprovechar tu infraestructura interna de inicio de sesión único mediante Kerberos. El inicio de sesión único puede mejorar la satisfacción del usuario, ya que solo hay que introducir la contraseña una vez. Además, aumenta la seguridad en el uso diario de las apps, ya que las contraseñas nunca se transmiten inalámbricamente. El sistema de autenticación Kerberos utilizado en ios 7 es un estándar del sector y utiliza la tecnología de inicio de sesión único más extendida a nivel mundial. Si tienes Active Directory, edirectory u Open Directory, lo más probable es que ya tengas un sistema Kerberos compatible con ios 7. Los dispositivos ios necesitan acceso al servicio Kerberos mediante conexión de red para autenticar a los usuarios. Apps admitidas ios admite de forma flexible el inicio de sesión único (SSO) de Kerberos en cualquier app que use las clases NSURLConnection o NSURLSession para gestionar las conexiones de red y la autenticación. Apple proporciona a todos los desarrolladores estos marcos de alto nivel para integrar perfectamente las conexiones de red en sus apps. Además, Apple también ofrece Safari como ejemplo para ayudarte a dar los primeros pasos mediante el uso de sitios web compatibles con SSO de forma nativa. Configuración de SSO La configuración del inicio de sesión único se hace mediante perfiles de configuración, que se pueden instalar manualmente o se pueden gestionar con MDM. La carga útil de la cuenta de SSO permite una configuración flexible. SSO se puede aplicar a todas las apps, o bien se puede restringir por identificador de app, URL de servicio o ambos criterios. A la hora de determinar la coincidencia de las URL, se usa la coincidencia de patrón sencillo y las URL deben empezar por o por Debe coincidir la URL entera, así que asegúrate de que sean idénticas. Por ejemplo, un valor URLPrefixMatches de no coincidirá con 13

14 Puedes especificar o para restringir el uso del SSO a servicios HTTP seguros o normales. Por ejemplo, si usas como valor de URLPrefixMatches, la cuenta de SSO solo se podrá usar en servicios HTTPS seguros. Si un patrón de coincidencia de URL no termina con una barra diagonal (/), esta se añade. La matriz AppIdentifierMatches debe contener cadenas que coincidan con los identificadores de los paquetes de apps. Estas cadenas pueden ser coincidencias exactas (com.miempresa.miapp, por ejemplo) o pueden especificar un prefijo del ID del paquete usando el carácter comodín (*). El carácter comodín debe aparecer después de un punto (.), y solo al final de la cadena (por ejemplo, com.miempresa.*). Cuando se usa un comodín, todas las apps cuyo ID de paquete empiece con el prefijo tienen acceso a la cuenta. Certificados digitales Los certificados digitales son un medio de identificación que facilita la autenticación, la integridad de los datos y el cifrado. Un certificado digital está formado por una clave pública, información sobre el usuario y la autoridad certificadora que lo emitió. ios admite certificados digitales, lo que ofrece a las organizaciones acceso seguro y sencillo a los servicios corporativos. Los certificados se pueden usar de varias maneras. Firmar datos con un certificado digital ayuda a garantizar que esta información no pueda alterarse. Los certificados también sirven para garantizar la identidad del autor o «firmante». Además, se pueden usar para cifrar perfiles de configuración y comunicaciones de red, con el fin de aumentar la protección de la información confidencial o privada. Por ejemplo, el navegador Safari puede comprobar la validez de un certificado digital X.509 y configurar una sesión segura con cifrado AES de hasta 256 bits. Así se verifica la legitimidad de la identidad del sitio y se garantiza la protección de la comunicación con el sitio web para ayudar a evitar la interceptación de datos personales o confidenciales. Formatos de identidad y certificado admitidos: ios admite certificados X.509 con claves RSA. Se reconocen las extensiones de archivo.cer,.crt,.der,.p12, y.pfx. Uso de certificados en ios Certificados raíz De serie, ios incluye diversos certificados raíz preinstalados. Si quieres más información, consulta la lista en este artículo de Soporte de Apple. Si la seguridad de los certificados raíz preinstalados se ve comprometida, ios puede actualizar los certificados inalámbricamente. Puedes aplicar una restricción para evitarlo, impidiendo así la actualización inalámbrica de los certificados. Si usas un certificado raíz que no está preinstalado, como un certificado raíz autofirmado creado por tu organización, puedes distribuirlo mediante uno de los métodos enumerados a continuación. Distribución e instalación de certificados Distribuir certificados entre dispositivos ios es fácil. Cuando recibe un certificado, el usuario solo tiene que tocarlo para ver su contenido y volver a tocar para instalarlo en el dispositivo. Al instalar un certificado de identidad, se solicita al usuario que introduzca la contraseña que lo protege. Si no se puede verificar la autenticidad de un certificado, se indica que no es de confianza, y el usuario puede decidir si aun así quiere añadirlo al dispositivo. Instalación de certificados mediante perfiles de configuración Si se usan perfiles de configuración para distribuir los ajustes de los servicios corporativos como Exchange, VPN o Wi-Fi, los certificados se pueden añadir al perfil con el fin de optimizar la implantación. Esto incluye la posibilidad de distribuir certificados vía MDM. 14

15 Instalación de certificados mediante Mail o Safari Si se envía un certificado en un correo electrónico, se mostrará como un adjunto. También se puede usar Safari para descargar certificados desde una página web. Puedes alojar un certificado en un sitio web seguro y facilitar a los usuarios la URL desde la que pueden descargar el certificado en sus dispositivos. Revocación y eliminación de certificados Para eliminar manualmente un certificado ya instalado, accede a Ajustes > General > Perfiles y selecciona el certificado en cuestión. Si un usuario elimina un certificado necesario para acceder a una cuenta o red, el dispositivo no podrá volver a conectarse a esos servicios. Un servidor de gestión de dispositivos móviles puede ver todos los certificados de un dispositivo y eliminar los que tenga instalados. Además, se admiten los protocolos OCSP (protocolo de estado de certificados online) y CRL (lista de revocación de certificados) para comprobar el estado de los certificados. Cuando se usa un certificado compatible con OCSP o CRL, ios lo valida periódicamente para comprobar que no ha sido revocado. Bonjour Bonjour es el protocolo de red sin configuración y basado en estándares de Apple que permite que los dispositivos detecten servicios en una red. Los dispositivos ios usan Bonjour para detectar impresoras compatibles con AirPrint y dispositivos compatibles con AirPlay, como el Apple TV. Algunas apps con conexión punto a punto también necesitan usar Bonjour. Tienes que asegurarte de que tu infraestructura de red y Bonjour estén correctamente configurados para interactuar entre sí. Los dispositivos con ios 7.1 también buscarán fuentes AirPlay a través de Bluetooth. Una vez que se ha detectado un Apple TV compatible, se envían los datos de AirPlay a través de la red Wi-Fi. Es necesario disponer de un Apple TV 6.1 o posterior para activar la detección a través de Bluetooth, y el dispositivo ios y el Apple TV deben estar conectados a la misma subred para reproducir o duplicar contenidos. Si quieres más información sobre Bonjour, consulta esta página web de Apple. 15

16 Capítulo 2: Seguridad ios está diseñado con varias capas de seguridad. Esto permite que los dispositivos ios accedan de forma segura a servicios corporativos y protejan datos importantes. ios ofrece un sólido sistema de cifrado para la transmisión de datos y métodos de autenticación acreditados para acceder a servicios corporativos. Además, todos los datos almacenados en el dispositivo se cifran por hardware. ios también ofrece protección segura mediante el uso de políticas de códigos que se pueden diseñar e imponer de forma inalámbrica. Además, si el dispositivo cayese en malas manos, los usuarios y los administradores de TI pueden enviar una orden de borrado remoto para garantizar que la información privada se elimina. Cuando nos planteamos la seguridad de ios para su uso en empresas, es útil comprender lo siguiente: Controles del dispositivo. Métodos que impiden el uso no autorizado del dispositivo. Cifrado y protección de datos. Máxima protección de los datos, incluso si el dispositivo se pierde o lo roban. Redes seguras. Protocolos de red y cifrado de los datos en tránsito. Seguridad de las apps.permite que las apps se ejecuten de forma segura y sin poner en peligro la integridad de la plataforma. Servicios de Internet. La infraestructura basada en red de Apple para los servicios de mensajería, sincronización y copia de seguridad. Estas funciones se combinan para ofrecer una plataforma informática móvil segura. Se ofrecen las siguientes políticas de códigos: Solicitar Código en el Dispositivo Requerir Valor Alfanumérico Longitud Mínima del Código Número Mínimo de Caracteres Complejos Periodo Máximo de Validez del Código Bloqueo Automático Historial de Códigos Periodo de Gracia para el Bloqueo del Dispositivo Número Máximo de Intentos Fallidos Seguridad de los dispositivos Es importante establecer fuertes políticas de acceso a los dispositivos ios para proteger la información de la empresa. El código del dispositivo es la primera línea de defensa contra usos no autorizados y se puede configurar e imponer de forma inalámbrica. ios emplea un código exclusivo determinado por cada usuario para generar una clave de cifrado segura que protege aún más el correo y los datos confidenciales de las apps del dispositivo. Además, ios proporciona métodos seguros para configurar el dispositivo en entornos de TI, donde se deben aplicar ciertos ajustes, políticas y restricciones. Estos métodos proporcionan opciones flexibles para establecer un nivel de protección estándar para los usuarios autorizados. Políticas de códigos Un código de dispositivo impide que los usuarios sin autorización accedan a los datos guardados o incluso al propio dispositivo. ios permite elegir entre un amplio conjunto de políticas de código con los que satisfacer tus necesidades de seguridad, por ejemplo periodos de inactividad, solidez y frecuencia de renovación del código. 16

17 Imposición de políticas Las políticas también pueden distribuirse en un perfil de configuración que los usuarios deberán instalar. El perfil se puede definir de modo que solo se pueda borrar con una contraseña de administrador, o para que esté ligado al dispositivo y solo se pueda borrar si se elimina todo el contenido del equipo. Además, los ajustes de códigos se pueden configurar de forma remota mediante soluciones de gestión de dispositivos móviles (MDM), capaces de transmitir las políticas directamente al dispositivo. Esto permite imponer y actualizar las políticas sin que el usuario deba hacer nada. Si el dispositivo está configurado para acceder a una cuenta de Exchange de Microsoft, las políticas de Exchange ActiveSync se remiten de forma inalámbrica al dispositivo. El conjunto de políticas disponibles depende de la versión de Exchange ActiveSync y de Exchange Server. Si existen políticas de Exchange y de MDM, se aplica la más estricta. Configuración segura del dispositivo Los perfiles de configuración son archivos XML que contienen las restricciones y políticas de seguridad, la información de la configuración de la red VPN, los ajustes Wi-Fi y las cuentas de correo electrónico y calendarios, así como las credenciales de autenticación que permiten que los dispositivos ios funcionen con tus sistemas de TI. La posibilidad de establecer políticas de código y ajustes de dispositivo con un perfil de configuración garantiza que los dispositivos de la organización estén correctamente configurados y respeten los estándares de seguridad establecidos por tu departamento de TI. Como los perfiles de configuración se pueden cifrar y bloquear, los ajustes no se pueden eliminar, modificar ni compartir con otros usuarios. Los perfiles de configuración se pueden firmar y cifrar. La firma de un perfil de configuración garantiza que no se puedan modificar los ajustes que establece. El cifrado de un perfil de configuración protege su contenido y solo permite su instalación en el dispositivo para el que fue creado. Los perfiles de configuración se cifran con CMS (Cryptographic Message Syntax, RFC 3852). Se admiten los algoritmos 3DES y AES 128. La primera vez que se distribuye un perfil de configuración cifrado, puede instalarse mediante sincronización USB empleando Apple Configurator, o bien inalámbricamente mediante MDM o usando el protocolo de configuración y distribución inalámbrica de perfiles. La distribución posterior de perfiles de configuración cifrados se puede realizar mediante adjuntos de correo electrónico, alojándolos en un sitio web accesible para los usuarios, o bien enviándolos al dispositivo mediante soluciones MDM. Si quieres más información, consulta el artículo sobre el protocolo de configuración y distribución inalámbrica de perfiles de la biblioteca para desarrolladores de ios. Restricciones de dispositivo Las restricciones de dispositivo determinan qué prestaciones están disponibles para los usuarios. Normalmente se utilizan para aplicaciones con conexión de red, como Safari, YouTube o el itunes Store, pero las restricciones también pueden controlar cosas como la instalación de apps o el uso de la cámara. Las restricciones permiten configurar el dispositivo en función de los requisitos de cada organización, de modo que los usuarios lo utilicen de acuerdo con las políticas internas. Las restricciones pueden configurarse en cada dispositivo de forma manual o aplicarse con un perfil de configuración o una solución MDM en remoto. Además, al igual que las políticas de códigos, las restricciones relacionadas con la cámara o la navegación web se pueden imponer inalámbricamente mediante Exchange Server 2007 o 2010 de Microsoft. También se pueden aplicar restricciones para evitar que los mensajes de correo electrónico sean traspasados de una cuenta a otra o que los mensajes recibidos por una cuenta sean reenviados a otra. 17

18 En el Anexo B se detallan las restricciones disponibles. Cifrado y protección de datos Proteger los datos almacenados en dispositivos ios es importante en cualquier entorno con información confidencial. Además de cifrar los datos transmitidos, los dispositivos ios ofrecen cifrado por hardware para los datos almacenados en el dispositivo, y cifrado adicional de correos electrónicos y datos de aplicaciones con un nivel superior de protección de datos. Cifrado Los dispositivos ios usan cifrado por hardware. El cifrado por hardware emplea la codificación AES de 256 bits para proteger todos los datos del dispositivo. El cifrado siempre está activado y no se puede desactivar. Además, se pueden cifrar los datos guardados con la copia de seguridad de itunes en el ordenador del usuario. Puede hacerlo el propio usuario o imponerse mediante los ajustes de restricción del dispositivo de los perfiles de configuración. ios también es compatible con S/MIME en Mail, lo que permite consultar y enviar mensajes de correo cifrados. Los módulos criptográficos de ios 7 y ios 6 son conformes al nivel 1 de la norma Federal Information Processing Standard (FIPS) del gobierno de Estados Unidos. Esto valida la integridad de las operaciones criptográficas de las apps de Apple y de terceros que usan adecuadamente los servicios criptográficos de ios. Si quieres más información, consulta Seguridad de los productos ios: Validaciones y directrices y ios 7: Módulos criptográficos FIPS v4.0 para ios de Apple Protección de datos Los mensajes de correo y los adjuntos guardados en el dispositivo se pueden salvaguardar todavía más usando las prestaciones de protección de datos integradas en ios. La protección de datos emplea el código exclusivo del dispositivo del usuario en combinación con el cifrado por hardware de los dispositivos ios para generar una clave de cifrado segura. Esto evita el acceso a los datos cuando el dispositivo está bloqueado, lo que garantiza que la información confidencial esté segura aunque el dispositivo no lo esté. Para activar la prestación de protección de datos, solo es necesario establecer un código en el dispositivo. La efectividad de la protección de datos depende de una contraseña segura, por lo que es importante exigir e imponer un código más complejo que los de cuatro dígitos al establecer las políticas de código. Los usuarios pueden comprobar si la protección de datos está activada en su dispositivo consultando la pantalla de ajustes de código. Las soluciones de gestión de dispositivos móviles también permiten solicitar esta información al dispositivo. Las API de protección de datos están a disposición de los desarrolladores, y se pueden usar para reforzar la seguridad de los datos de las apps del App Store y de las apps internas personalizadas. A partir de ios 7, los datos almacenados en las aplicaciones utilizan por defecto la clase de seguridad Protected Until First User Authentication (protegido hasta primera autenticación de usuario), que es similar al cifrado de disco completo en los ordenadores de mesa. Esta clase protege los datos frente a ataques que incluyen el reinicio del sistema. Nota: si se actualiza el sistema operativo de un dispositivo que tiene ios 6, los almacenes de datos existentes no se convierten a la clase nueva. Para que una app obtenga esa clase de protección es necesario desinstalar y volver a instalar la app. 18

19 Touch ID Touch ID es el lector de huellas digitales integrado en el iphone 5s que simplifica y agiliza el acceso de alta seguridad al dispositivo. Esta tecnología pionera lee las huellas desde cualquier ángulo y con el tiempo aprende a reconocerlas mejor, ya que el sensor sigue ampliando el mapa de la huella del usuario a medida que se identifican más nodos solapados con cada uso. Con Touch ID, usar un código más largo y complejo es mucho más práctico, ya que el usuario no tiene que introducirlo con tanta frecuencia. Touch ID también resuelve los inconvenientes del bloqueo con código, y no lo hace reemplazándolo, sino más bien ofreciendo un acceso seguro al dispositivo dentro de unos límites y plazos razonables. Cuando Touch ID está activado, el iphone 5s se bloquea de inmediato cuando se pulsa el botón de activación/reposo. Cuando el código es la única medida de seguridad, muchos usuarios se ponen un periodo de gracia para no tener que introducir el código cada vez que usan el dispositivo. Con Touch ID, el iphone 5s se bloquea cada vez que entra en reposo y requiere la huella o si se prefiere, el código para reactivarse. Touch ID se combina con Secure Enclave, un coprocesador integrado en el chip A7 de Apple. Secure Enclave tiene su propio espacio de memoria protegido y cifrado, y se comunica de forma segura con el sensor de Touch ID. Cuando el iphone 5s se bloquea, las claves de la clase Complete de protección de datos se protegen mediante una clave guardada en la memoria cifrada de Secure Enclave. La clave se guarda durante un periodo máximo de 48 horas y se descarta si se reinicia el iphone 5s o se utiliza una huella no identificada cinco veces. Si el sensor reconoce una huella, Secure Enclave proporciona la clave para descifrar las claves de la protección de datos y el dispositivo se desbloquea. Borrado remoto ios admite el borrado remoto. En caso de robo o extravío de un dispositivo, el administrador o el propietario pueden emitir una orden de borrado remoto que elimina todos sus datos y lo desactiva. Si el dispositivo está configurado con una cuenta de Exchange, el administrador puede iniciar una orden de borrado remoto desde la Consola de Administración de Exchange (Exchange Server 2007) o desde la herramienta Exchange ActiveSync Mobile Administration Web Tool (Exchange Server 2003 o 2007). Los usuarios de Exchange Server 2007 también pueden dar la orden de borrado remoto directamente con Outlook Web Access. Las órdenes de borrado remoto también se pueden iniciar desde soluciones MDM o usando la prestación Buscar mi iphone de icloud, aunque no se usen los servicios corporativos de Exchange. Borrado local Los dispositivos también pueden configurarse para iniciar un borrado local automáticamente tras varios intentos fallidos de introducción del código. Esto protege contra los intentos de forzar el acceso al dispositivo. Cuando se establece un código, los usuarios tienen la posibilidad de activar directamente el borrado local desde los ajustes del dispositivo. Por omisión, ios borra el dispositivo automáticamente después de 10 intentos fallidos de introducción del código. Como con otras políticas de código, el número máximo de intentos fallidos se puede establecer mediante un perfil de configuración, con un servidor de MDM o de forma inalámbrica con políticas de Exchange ActiveSync de Microsoft. Buscar mi iphone y Bloqueo de Activación Si un dispositivo se pierde o lo roban, es importante desactivarlo y borrar su contenido. En ios 7, cuando Buscar mi iphone está activado, el dispositivo no se puede volver a activar sin introducir las credenciales de ID de Apple del propietario. Se recomienda supervisar los dispositivos propiedad de la 19

20 organización o en su defecto instaurar una política para que los usuarios desactiven esta prestación, de modo que Buscar mi iphone no impida que la organización pueda asignar el dispositivo a otro usuario. En ios 7.1 o posterior puedes usar una solución MDM compatible para habilitar el Bloqueo de Activación cuando un usuario activa Buscar mi iphone. Tu solución MDM puede almacenar un código de circunvalación cuando se habilita Bloqueo de Activación y posteriormente usar ese código para eliminar el bloqueo automáticamente cuando necesites borrar el dispositivo y dárselo a un nuevo usuario. Consulta los detalles en la documentación de tu solución MDM. Si quieres más información sobre Buscar mi iphone y Bloqueo de Activación, consulta icloud y Gestión de dispositivos móviles y bloqueo de activación de Buscar mi iphone. Seguridad de red Compatibilidad integrada con VPN IPSec de Cisco, L2TP y PPTP VPN sobre SSL mediante apps del App Store SSL/TLS con certificados X.509 WPA/WPA2 Enterprise con 802.1X Autenticación basada en certificados SecurID de RSA y CRYPTOCard Protocolos de VPN IPSec de Cisco L2TP sobre IPSec PPTP VPN sobre SSL Métodos de autenticación Contraseña (MSCHAPv2) SecurID de RSA CRYPTOCard Certificados digitales X.509 Secreto compartido Protocolos de autenticación 802.1X EAP-TLS EAP-TTLS EAP-FAST EAP-SIM PEAP v0, v1 LEAP Formatos de certificado admitidos ios admite certificados X.509 con claves RSA. Reconoce las extensiones de archivo.cer,.crt y.der. Seguridad de la red Los usuarios que viajan a menudo necesitan poder acceder a las redes de información corporativa desde cualquier lugar del mundo, pero también es importante garantizar que los usuarios estén autorizados y que los datos estén protegidos durante su transmisión. ios ofrece tecnologías acreditadas que permiten cumplir estos objetivos de seguridad tanto para conexiones a redes Wi-Fi como de telefonía móvil. Además de tu infraestructura, todas las conversaciones de FaceTime y imessage están cifradas de punto a punto. ios crea un identificador exclusivo para cada usuario, garantizando que las comunicaciones se cifren, enruten y conecten adecuadamente. VPN Muchos entornos empresariales tienen algún tipo de red privada virtual (VPN). Estos servicios seguros de red ya están implantados y suelen requerir una configuración mínima para funcionar con ios. ios integra de serie una amplia gama de tecnologías VPN ampliamente utilizadas. Puedes consultar los detalles en el apartado «Redes privadas virtuales» del capítulo 1. SSL/TLS ios admite la versión 3 de SSL, así como el protocolo Transport Layer Security (TLS 1.0, 1.1 y 1.2). Safari, Calendario, Mail y otras aplicaciones de Internet inician automáticamente estos mecanismos para establecer un canal de comunicación cifrada entre ios y los servicios corporativos. WPA/WPA2 ios admite WPA2 Enterprise para ofrecer acceso autenticado a la red inalámbrica de la empresa. WPA2 Enterprise utiliza cifrado AES de 128 bits, que ofrece a los usuarios las máximas garantías de que sus datos estarán protegidos al enviar y recibir comunicaciones a través de la conexión a una red Wi-Fi. Además, como el iphone y el ipad son compatibles con 802.1X, pueden integrarse en un amplio abanico de entornos de autenticación RADIUS. Seguridad de las apps ios está íntegramente desarrollado para ofrecer la máxima seguridad. Incluye un sistema de zona protegida (sandboxing) para la protección de aplicaciones en tiempo de ejecución y usa la firma para que no se puedan manipular las apps. ios también cuenta con una infraestructura protegida que permite guardar de forma segura las credenciales de servicios de aplicaciones y redes en un espacio de almacenamiento cifrado llamado «llavero». Para los desarrolladores, ofrece una arquitectura de cifrado común que puede usarse para cifrar depósitos de datos de aplicaciones. 20