iPhone e iPad en la empresa Escenarios de implementacin

Octubre de 2011
Conoce cmo el iPhone y el iPad se integran perfectamente en los entornos empresariales con estos escenarios de implementacin. Microsoft Exchange ActiveSync Servicios basados en estndares Redes privadas virtuales Wi-Fi Certificados digitales Descripcin de seguridad Administracin de dispositivos mviles

Implementando iPhone e iPad Exchange ActiveSync

iPhone e iPad se comunican directamente con tu Microsoft Exchange Server a travs de Microsoft Exchange ActiveSync (EAS), lo que cual permite actualizar correos, calendarios, contactos y tareas. Con Exchange ActiveSync, los usuarios tambin pueden acceder a la lista global de direcciones (GAL), y los administradores, a las capacidades de borrado remoto y ejecucin de polticas con contraseas. iOS es compatible con la autenticacin bsica y basada en certificados para Exchange ActiveSync. Si tu empresa es compatible con Exchange ActiveSync, tienes los servicios necesarios para implementar el iPhone y el iPad, sin necesidad de configuracin adicional. Si tienes Exchange Server 2003, 2007 2010, pero tu compaa es nueva en Exchange ActiveSync, consulta los pasos siguientes.

Configuracin de Exchange ActiveSync

Descripcin de la configuracin de red Verifica que el puerto 443 est abierto en el firewall. Si tu compaa permite el acceso web a Outlook, posiblemente el puerto 443 ya est abierto. En el servidor de front-end, verifica que el certificado del servidor est instalado y habilita SSL para el directorio virtual de Exchange ActiveSync en IIS.
Polticas de seguridad compatibles con Exchange ActiveSync Borrado remoto Dispositivos con contrasea Tamao mnimo de contrasea Intentos mximos fallidos de ingreso de contrasea (antes de Borrado local) Solicitud de nmeros y letras Tiempo de inactividad en minutos (1 a 60 minutos) Polticas adicionales de Exchange ActiveSync (slo para Exchange 2007 y 2010) Permitir o prohibir contraseas simples Expiracin de contraseas Historial de contraseas Intervalo de renovacin de polticas Nmero mnimo de caracteres complejos en la contrasea Activacin de la sincronizacin manual durante la itinerancia Activacin de la cmara Activacin de la navegacin web

Si ests usando un servidor ISA (Internet Security and Acceleration) de Microsoft, verifica que haya instalado un certificado de servidor y actualiza el DNS pblico para resolver las conexiones entrantes. Asegrate que el DNS de tu red devuelve una nica direccin con ruta externa para el servidor Exchange ActiveSync en clientes de intranet e Internet. Esto es necesario para que el dispositivo pueda usar la misma direccin IP para comunicarse con el servidor cuando ambos tipos de conexiones estn activas. Si ests usando un servidor ISA de Microsoft, crea un web listener as como una regla , de publicacin de acceso al cliente web de Exchange. Consulta la documentacin de Microsoft para ver ms detalles. Para todos los firewalls y dispositivos de red, define el tiempo de espera de sesin inactiva en 30 minutos. Para obtener informacin sobre los intervalos de latidos y espera, consulta la documentacin de Microsoft Exchange en http://technet.microsoft. com/es-mx/library/cc182270(en-us).aspx. Configura las funciones mviles, las polticas y la configuracin del dispositivo de seguridad con el administrador del sistema de Exchange. Para Exchange Server 2007 y 2010 puedes hacer esto en la consola de administracin de Exchange. Descarga e instala la herramienta web de administracin mvil de Microsoft Exchange ActiveSync, necesaria para iniciar un borrado remoto. Para Exchange Server 2007 y 2010, el borrado remoto tambin puede ser iniciado mediante Outlook Web Access o la consola de administracin de Exchange.

Autenticacin bsica (nombre de usuario y contrasea) Habilita Exchange ActiveSync para los usuarios o grupos especficos que usan el servicio Active Directory. Esto est habilitado de forma predeterminada en todos los dispositivos mviles a nivel de la organizacin en Exchange Server 2003, 2007 y 2010. Para Exchange Server 2007 y 2010, consulta la configuracin del destinatario en la consola de administracin de Exchange. Exchange ActiveSync est configurado de forma predeterminada para la autenticacin bsica del usuario. Se recomienda que habilites SSL para la autenticacin bsica, lo cual garantiza la encriptacin de las credenciales durante la autenticacin. Autenticacin basada en certificados Instala los servicios de certificados corporativos en un servidor miembro o controlador de dominio en tu dominio (este ser tu servidor de autoridad de certificacin). Configura IIS en tu servidor de front-end o servidor de acceso cliente de Exchange para aceptar la autenticacin basada en certificados en el directorio virtual de Exchange ActiveSync.
Otros servicios de Exchange ActiveSync Bsqueda en la lista global de direcciones Acepta y crea invitaciones del calendario Sincroniza tareas Marca mensajes de correo electrnico con banderas Sincroniza las banderas de Respuesta y Envo con Exchange Server 2010 Bsqueda de Mail en Exchange Server 2007 y 2010 Soporte para varias cuentas de Exchange ActiveSync Autenticacin basada en certificados Actualizacin de correos en carpetas seleccionadas Identificacin automtica

Para permitir o requerir certificados para todos los usuarios, deshabilita la Autenticacin bsica y selecciona Aceptar certificados cliente o Requerir certificados cliente . Genera certificados cliente usando tu servidor de autoridad de certificacin. Exporta la clave pblica y configura IIS para usar esta clave. Exporta la clave privada y usa un perfil de configuracin para generar esta clave en el iPhone y el iPad. La autenticacin basada en certificados slo puede ser configurada usando un perfil de configuracin. Para ms informacin sobre servicios de certificados, consulta los recursos disponibles en Microsoft.

Escenario de implementacin de Exchange ActiveSync

Este ejemplo muestra cmo el iPhone y el iPad se conectan a una implementacin normal de Microsoft Exchange Server 2003, 2007 2010.

Clave privada (certificado) Firewall Perfil de configuracin Clave pblica (certificado) Firewall Servidor de certificados

443 3

Directorio Activo

1 Internet Servidor proxy

2 Servidor de front-end o de acceso cliente de Exchange 4

6 Mail Gateway o Edge Transport Server* Bridgehead o Hub Transport Server

5 Exchange Mailbox o Back-End Server(s)

*Dependiendo de la configuracin de tu red, el Mail Gateway o Edge Transport Server puede residir en la red del permetro (DMZ).

El iPhone y el iPad solicitan acceso a los servicios de Exchange ActiveSync en el puerto 443 (HTTPS) (este es el mismo puerto usado por Outlook Web Access y otros servicios web seguros, por lo que, en muchas implementaciones, este puerto ya est abierto y configurado para el trfico HTTPS encriptado en SSL). ISA brinda acceso al servidor de front-end o de acceso cliente de Exchange. ISA est configurado como un proxy o, en muchos casos, como un proxy inverso, para dirigir el trfico a Exchange Server. Exchange Server autentica al usuario entrante a travs del servicio Active Directory y el servidor de certificados (si emplea autenticacin basada en certificados). Si el usuario brinda las credenciales apropiadas y tiene acceso a los servicios de Exchange ActiveSync, el servidor de front-end establece una conexin a la casilla de correo apropiada en el servidor de back-end (a travs del catlogo global de Active Directory). Se establece la conexin a Exchange ActiveSync. Las actualizaciones/cambios son empujados de forma inalmbrica, y cualquier cambio en el iPhone y el iPhone se ve reflejado en Exchange Server. El envo de elementos de correo en iPhone tambin est sincronizado con Exchange Server va Exchange ActiveSync (paso 5). Para dirigir el correo saliente a destinatarios externos, el correo suele ser enviado a travs de un Bridgehead (o Hub Transport) Server hacia un Mail Gateway (o Edge Transport Server) externo va SMTP. Dependiendo de la configuracin de tu red, el Mail Gateway o Edge Transport Server externo puede residir dentro de la red del permetro o fuera del firewall.

2011 Apple Inc. Todos los derechos reservados. Apple, el logo Apple, iPhone, iPad y Mac OS son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros pases. Otros nombres de productos y compaas mencionados aqu pueden ser marcas registradas de sus respectivas compaas. Las especificaciones de productos estn sujetas a cambios sin previo aviso. Este material ese provisto solo a ttulo informativo; Apple no asume responsabilidad relacionada con su uso. Octubre 2011 L419822B

Implementando iPhone e iPad Servicios basados en estndares

Con soporte para protocolo de correo IMAP, servicios de directorio LDAP, y protocolos de calendarios CalDAV y contactos CardDAV, el iOS puede ser integrado con casi todos los entornos de correo, calendarios y contactos basados en estndares. Si tu entorno de red est configurado para requerir autenticacin de usuario y SSL, el iPhone y el iPad ofrecen un mtodo seguro para acceder al correo, los calendarios y los contactos corporativos basados en estndares. En una implementacin tpica, el iPhone y el iPad establecen el acceso directo a servidores de correo IMAP y SMTP para recibir y enviar correos a travs del aire, y tambin puede sincronizar notas inalmbricamente con servidores IMAP. Los dispositivos iOS se conectan a los directorios LDAP v3 de tu compaa, para que los usuarios accedan a los contactos corporativos en las aplicaciones Mail, Contactos y Mensajes. Con la sincronizacin con el servidor CalDAV, los usuarios pueden crear y aceptar invitaciones de calendario, recibir actualizaciones del calendario y sincronizar tareas con la app Recordatorios. Con el soporte para CardDAV, los usuarios pueden mantener una serie de contactos sincronizados con tu servidor CardDAV usando el formato vCard. Todos los servidores de red pueden estar situados dentro de una subred DMZ, detrs de un firewall corporativo, o en ambos. Con SSL, iOS es compatible con la encriptacin de 128 bits y los certificados raz X.509 emitidos por las principales autoridades de certificacin.

Puertos comunes IMAP/SSL: 993 SMTP/SSL: 587 LDAP/SSL: 636 CalDAV/SSL: 8443, 443 CardDAV/SSL: 8843, 443 Soluciones de correo IMAP o POP iOS es compatible con los servidores de correo IMAP4 y POP3 habituales en la industria para una amplia gama de plataformas de servidores, como Windows, UNIX, Linux y Mac OS X. Estndares CalDAV y CardDAV iOS es compatible con los protocolos de calendarios CalDAV y contactos CardDAV. Ambos protocolos han sido estandarizados por el IETF. Encuentra ms informacin a travs del consorcio CalConnect en http://caldav.calconnect.org/ y http:// carddav.calconnect.org/.

Configuracin de red
Su administrador de TI o de red debe completar estos pasos clave para habilitar el acceso desde el iPhone y el iPad a los servicios IMAP, LDAP, CalDAV y CardDAV: Abrir los puertos adecuados en el firewall. Los puertos ms comunes son el 993 para el correo IMAP, el 587 para el correo SMTP, el 636 para servicios de directorio LDAP, el 8443 para calendarios CalDAV y el 8843 para contactos CardDAV. Tambin, se recomienda que la comunicacin entre tu servidor proxy y tus servidores IMAP, LDAP, CalDAV y CardDAV de back-end sea configurada para utilizar SSL y que los certificados digitales en tus servidores de red sean firmados por una autoridad certificadora de confianza, como VeriSign. Este importante paso asegura que el iPhone y el iPad reconozcan el servidor proxy como una entidad de confianza dentro de tu infraestructura corporativa. Para correo SMTP saliente debe abrirse el puerto 587, 465 25 para permitir el envo de correos electrnicos. El iPhone verifica automticamente el puerto 587, luego el 465 y, luego, el 25. El puerto 587 es el ms confiable y seguro, ya que requiere autenticacin de usuario. El puerto 25 no requiere autenticacin y algunos proveedores de servicios de Internet bloquean este puerto de forma predeterminada para evitar el spam.

Escenario de implementacin
Este ejemplo muestra cmo el iPhone y el iPad se conectan a una implementacin tpica de IMAP, LDAP, CalDAV y CardDAV.
Firewall Firewall 3 Servidor de directorio LDAP 4 Servidor de CalDAV 1 Servidor reverse proxy Internet 8843 (CardDAV) 993 (IMAP) 587 (SMTP) 5 Servidor de CardDAV 2

636 (LDAP) 8443 (CalDAV)

6 Servidor de Mail

1 2

El iPhone y el iPad solicitan acceso a los servicios de red sobre los puertos designados. Dependiendo del servicio, los usuarios deben autenticar ya sea con el reverse proxy o directamente con el servidor para obtener acceso a los datos corporativos. En todos los casos, las conexiones son transmitidas por el reverse proxy, que funciona como un gateway seguro, por lo general detrs del firewall de Internet de la compaa. Una vez autenticado, el usuario puede acceder a sus datos corporativos en los servidores de back-end. El iPhone y el iPad ofrecen servicios de bsqueda en directorios LDAP, para que los usuarios puedan buscar contactos y otra informacin de la libreta de direcciones en el servidor LDAP. Para calendarios CalDAV, los usuarios pueden acceder y actualizar calendarios. Los contactos de CardDAV son almacenados en el servidor y se puede acceder a ellos localmente desde el iPhone y el iPad. Los cambios en los campos de contactos de CardDAV vuelven a ser sincronizados con el servidor de CardDAV. Para los servicios de correo IMAP, los mensajes nuevos y actuales pueden ser ledos en el iPhone y el iPad a travs de la conexin proxy con el servidor de correo. El correo saliente en el iPhone es enviado al servidor SMTP, con copias en la carpeta Enviados del usuario.

4 5

2011 Apple Inc. Todos los derechos reservados. Apple, el logo Apple, iPhone, iPad y Mac OS son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros pases. Otros nombres de productos y compaas mencionados aqu pueden ser marcas registradas de sus respectivas compaas. Las especificaciones de productos estn sujetas a cambios sin previo aviso. Este material ese provisto solo a ttulo informativo; Apple no asume responsabilidad relacionada con su uso. Octubre de 2011 L419827B

Implementando iPhone e iPad Redes privadas virtuales

El acceso seguro a redes privadas corporativas est disponible en el iPhone y el iPad mediante los protocolos VPN establecidos, habituales en la industria. Los usuarios pueden conectarse fcilmente a los sistemas empresariales a travs del cliente VPN integrado en iOS o mediante aplicaciones de Juniper, Cisco y F5 Networks. Apenas lo sacas de la caja, iOS es compatible con Cisco IPSec, L2TP over IPSec y PPTP. Si tu organizacin emplea alguno de estos protocolos, no necesitas otra configuracin de red o aplicaciones de terceros para conectar el iPhone y el iPad a tu VPN. Adems, iOS es compatible con VPN SSL, que permite el acceso a los servidores de VPN SSL de Juniper SA Series, Cisco ASA y F5 BIG-IP Edge Gateway. Para empezar, los usuarios slo tienen que descargar una aplicacin de cliente VPN desarrollada por Juniper, Cisco o F5 desde el App Store. Al igual que otros protocolos VPN compatibles con iOS, SSL VPN puede ser configurado manualmente en el dispositivo o por medio de un perfil de configuracin. iOS es compatible con las tecnologas estndar en la industria, tales como IPv6, servidores proxy y split-tunneling, proporcionando una rica experiencia de VPN para conectarse a redes corporativas. Adems, iOS funciona con varios mtodos de autenticacin, incluyendo contraseas, tokens de dos factores y certificados digitales. Para mejorar la conexin en entornos que utilizan la autenticacin basada en certificados, iOS incluye VPN On Demand, que inicia dinmicamente una sesin de VPN para conectarse a dominios especficos.

Protocolos y mtodos de autenticacin compatibles

SSL VPN Es compatible con la autenticacin de usuarios mediante contraseas, tokens de dos factores y certificados. Cisco IPSec Es compatible con la autenticacin de usuarios mediante contraseas, tokens de dos factores y autenticacin de mquinas por certificados y secreto compartido. L2TP over IPSec Es compatible con la autenticacin de usuarios mediante contrasea MS-CHAP v2, tokens de dos factores y autenticacin de mquinas por secreto compartido. PPTP Es compatible con la autenticacin de usuarios mediante contrasea MS-CHAP v2 y tokens de dos factores.

VPN On Demand
Para las configuraciones con autenticacin basada en certificados, iOS es compatible con VPN On Demand, que establecer una conexin automticamente cuando se acceda a los dominios predefinidos, ofreciendo una excelente experiencia de conectividad VPN para los usuarios. Esta es una funcionalidad de iOS que no requiere otra configuracin del servidor. La configuracin de VPN On Demand se lleva a cabo a travs de un perfil de configuracin o puede ser configurada manualmente en el dispositivo. Las opciones de VPN On Demand son: Siempre Inicia una conexin de VPN para cualquier direccin que coincide con el dominio especificado. Nunca No inicia una conexin de VPN para direcciones que coinciden con el dominio especificado, pero si la VPN ya est activa, puede ser usada. Establecer si es necesario Inicia una conexin de VPN para direcciones que coinciden con el dominio especificado slo luego de que ha fallado una bsqueda DNS.

Configuracin de VPN
iOS se integra con varias de las actuales redes VPN con una configuracin mnima necesaria. La mejor manera de preparar la implementacin es comprobar si iOS es compatible con los protocolos VPN y los mtodos de autenticacin de tu compaa. Se recomienda que revises la ruta de autenticacin en tu servidor de autenticacin para garantizar que los estndares compatibles con iOS estn habilitados en tu implementacin. Si piensas utilizar la autenticacin basada en certificados, asegrate de tener la infraestructura de clave pblica configurada para ser compatible con certificados basados en dispositivos y usuarios, con el correspondiente proceso de distribucin de claves. Si deseas configurar los ajustes de proxy especficos para la URL, coloca un archivo PAC en un servidor web que sea accesible con la configuracin bsica de VPN y asegrate que se encuentra alojado con el tipo application/x-ns-proxy-autoconfig MIME.

Configuracin de proxy
Para todas las configuraciones tambin puedes especificar un proxy VPN. Para configurar un proxy nico para todas las conexiones, usa la configuracin manual e ingresa la direccin, el puerto y la autenticacin, si es necesario. Para configurar el dispositivo con un archivo de configuracin de proxy automtico que utiliza PAC o WPAD, emplea el ajuste automtico. Para PACS, especifica la URL del archivo PACS. Para WPAD, el iPhone y el iPad consultarn DHCP y DNS para la configuracin adecuada.

Escenario de implementacin
El ejemplo muestra una implementacin habitual con un servidor/concentrador de VPN y con un servidor de autenticacin que controla el acceso a los servicios de red empresariales.
Firewall 3a Certificado o token de autenticacin Servidor de autenticacin de VPN Generacin de token o autenticacin de certificado Firewall 3b Servicio de directorio

1 Servidor/concentrador de VPN

4 Red privada

5 Internet pblica Servidor proxy

1 2 3

El iPhone y el iPad solicitan acceso a los servicios de red. El servidor/concentrador de VPN recibe la solicitud y la transfiere al servidor de autenticacin. En un entorno de token de dos factores, el servidor de autenticacin administrar la generacin de claves de token sincronizada con el servidor de claves. Si se implementa un mtodo de autenticacin de certificados es necesario distribuir un certificado de identidad al iPhone antes de la autenticacin. Si se implementa un mtodo de contraseas el proceso de autenticacin contina con la validacin del usuario. Una vez que el usuario es autenticado, el servidor de autenticacin valida las polticas del usuario y el grupo. Luego de validar las polticas del usuario y del grupo, el servidor de VPN brinda acceso encapsulado y encriptado a los servicios de red. Si se usa un servidor de proxy, el iPhone y el iPad se conectan a travs del servidor de proxy para acceder a la informacin fuera del firewall.

4 5 6

2011 Apple Inc. Todos los derechos reservados. Apple, el logo Apple, iPhone, iPad y Mac OS son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros pases. Otros nombres de productos y compaas mencionados aqu pueden ser marcas registradas de sus respectivas compaas. Las especificaciones de productos estn sujetas a cambios sin previo aviso. Este material ese provisto solo a ttulo informativo; Apple no asume responsabilidad relacionada con su uso. Octubre de 2011 L419828B

Implementando iPhone e iPad Wi-Fi

Apenas los sacas de la caja, el iPhone y el iPad se pueden conectar de forma segura a redes Wi-Fi corporativas o invitadas, por lo que unirse a redes inalmbricas disponibles es muy rpido y simple, tanto si ests en el campus o de viaje. iOS es compatible con los protocolos habituales de redes inalmbricas, como WPA2 Enterprise, asegurando que las redes inalmbricas corporativas puedan ser configuradas rpidamente y sean de acceso seguro. WPA2 Enterprise emplea encriptacin AES de 128 bits, un mtodo comprobado y basado en bloques que proporciona a los usuarios el mayor nivel de seguridad para sus datos. Con soporte para 802.1X, iOS puede ser integrado a una amplia gama de entornos de autenticacin RADIUS. Los mtodos de autenticacin inalmbrica 802.1X compatibles con el iPhone y el iPad son EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0, PEAPv1 y LEAP. Es posible acceder rpidamente a las redes Wi-Fi que requieren credenciales de acceso u otra informacin, sin necesidad de abrir una sesin del navegador, desde la configuracin de Wi-Fi o en aplicaciones tales como Mail. Adems, con la conectividad Wi-Fi persistente y de bajo consumo de energa, las aplicaciones pueden emplear redes Wi-Fi para distribuir notificaciones push. Para una rpida instalacin e implementacin, los ajustes de red inalmbrica, seguridad, proxy y autenticacin pueden ser configurados a travs de Perfiles de Configuracin.

Protocolos de seguridad inalmbrica WEP WPA Personal WPA Enterprise WPA2 Personal WPA2 Enterprise Mtodos de autenticacin 802.1X EAP-TLS EAP-TTLS EAP-FAST EAP-SIM PEAPv0 (EAP-MS-CHAP v2) PEAPv1 (EAP-GTC) LEAP

Configuracin de WPA2 Enterprise

Verifica la compatibilidad de los dispositivos de red y selecciona un tipo de autenticacin (tipo EAP) compatible con iOS. Verifica que 802.1X est habilitado en el servidor de autenticacin y, si es necesario, instala un certificado de servidor y asigna permisos de acceso a la red para usuarios y grupos. Configura puntos de acceso inalmbrico para la autenticacin de 802.1X e ingresa la informacin correspondiente del servidor RADIUS. Si planeas usar la autenticacin basada en certificados, configura tu infraestructura de claves pblicas para emplear certificados basados en dispositivos y usuarios con el correspondiente proceso de distribucin de claves. Verifica el formato de los certificados y la compatibilidad del servidor de autenticacin. iOS es compatible con PKCS#1 (.cer, .crt, .der) y PKCS#12. Para ver ms documentacin sobre los estndares de redes inalmbricas y el Acceso Protegido Wi-Fi (WPA), visita www.wi-fi.org.

11

Escenario de implementacin de WPA2 Enterprise/802.1X

Este ejemplo muestra una implementacin habitual de red inalmbrica segura con autenticacin basada en RADIUS.
Servidor de autenticacin con soporte para 802.1x (RADIUS) Firewall 3 Servicios de directorio

1 Punto de acceso inalmbrico con soporte para 802.1x

4 Servicios de red

Certificado o contrasea basado en Tipo EAP 1

El iPhone y el iPad solicitan acceso a la red. El iPhone inicia la conexin en respuesta a un usuario que selecciona una red inalmbrica disponible, o inicia automticamente una conexin luego de detectar una red configurada previamente. Una vez que el punto de acceso recibe la solicitud, la misma es enviada al servidor RADIUS para su autenticacin. El servidor RADIUS valida la cuenta del usuario mediante el servicio de directorio. Una vez que el usuario es autenticado, el punto de acceso brinda acceso a red con las polticas y permisos establecidos por el servidor RADIUS.

2 3 4

2011 Apple Inc. Todos los derechos reservados. Apple, el logo Apple, iPhone, iPad y Mac OS son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros pases. Otros nombres de productos y compaas mencionados aqu pueden ser marcas registradas de sus respectivas compaas. Las especificaciones de productos estn sujetas a cambios sin previo aviso. Este material ese provisto solo a ttulo informativo; Apple no asume responsabilidad relacionada con su uso. Octubre de 2011 L419830B

Implementando iPhone e iPad Certificados digitales

iOS es compatible con los certificados digitales, para que los usuarios tengan acceso seguro y gil a los servicios corporativos. Un certificado digital se compone de una clave pblica, la informacin sobre el usuario y la autoridad de certificacin que emiti el certificado. Los certificados digitales son una forma de identificacin que permite la autenticacin gil, la integridad de datos y la encriptacin. En el iPhone y el iPad, los certificados pueden ser usados de diversas maneras. La firma de datos con un certificado digital ayuda a garantizar que la informacin no pueda ser alterada. Los certificados tambin pueden ser usados para garantizar la identidad del autor o firmante Adems, se utilizan para encriptar los perfiles de configuracin y las . comunicaciones de red, protegiendo an ms la informacin confidencial o privada.

Uso de certificados en iOS

Certificados digitales
Formato de certificados e identidades compatibles: iOS es compatible con certificados X.509 con claves RSA. Se reconocen las extensiones de archivos .cer, .crt, .der, .p12 y .pfx Certificados raz Apenas lo sacas de la caja, iOS incluye una serie de certificados raz preinstalados. Para ver una lista de las races de sistema preinstaladas, consulta el artculo de Soporte de Apple en http://support. apple.com/kb/HT4415. Si ests usando un certificado raz que no est preinstalado, tal como un certificado raz autofirmado creado por tu empresa, puedes distribuirlo usando uno de los mtodos enumerados en la seccin Distribucin e instalacin de certificados de este documento. ,

Los certificados digitales pueden ser usados para autenticar usuarios de forma segura en los servicios corporativos sin necesidad de nombres de usuario, contraseas o tokens. En iOS, la autenticacin basada en certificados es compatible con el acceso a Microsoft Exchange ActiveSync, VPN y redes Wi-Fi.

Autoridad de certificacin

Solicitud de autenticacin

Servicios corporativos Intranet, e-mail, VPN, Wi-F

Servicio de directorio

Certificados de servidores
Los certificados digitales tambin pueden ser usados para validar y encriptar las comunicaciones de red. Esto permite una comunicacin segura con los sitios web internos y externos. El navegador Safari puede comprobar la validez de un certificado digital X.509 y establecer una sesin segura con encriptacin AES de 256 bits. Esto verifica que la identidad del sitio es legtima y que la comunicacin con el sitio web est protegida para evitar la interceptacin de datos personales o confidenciales.

Solicitud HTTPS

Servicios de red

Autoridad de certificacin

13

Distribucin e instalacin de certificados

Distribuir certificados para iPhone e iPad es muy simple. Cuando se recibe un certificado, los usuarios slo deben tocar para revisar el contenido y volver a tocar para aadir el certificado a su dispositivo. Cuando se instala un certificado de identidad, los usuarios deben ingresar la contrasea que lo protege. Si la autenticidad de un certificado no puede ser verificada, los usuarios vern una advertencia antes de aadirlo a su dispositivo.

Instalacin de certificados mediante perfiles de configuracin

Si se usan perfiles de configuracin para distribuir configuraciones de servicios corporativos, tales como Exchange, VPN o Wi-Fi, se pueden aadir certificados al perfil para simplificar la implementacin.

Instalacin de certificados mediante Mail o Safari

Si se enva un certificado por correo electrnico, aparecer como un archivo adjunto. Es posible usar Safari para descargar certificados desde una pgina web. Puedes alojar un certificado en un sitio web seguro y brindar a los usuarios una URL donde descargar el certificado en sus dispositivos.

Instalacin mediante SCEP (Simple Certificate Enrollment Protocol)

SCEP est diseado para brindar un proceso simplificado que permita manejar la distribucin de certificados para implementaciones a gran escala. Esto permite el registro a travs del aire de certificados digitales en el iPhone y el iPad, que pueden ser usados para la autenticacin de servicios corporativos, as como para el registro con un servidor de administracin de dispositivos mviles. Para ms informacin sobre SCEP y Over-the-Air Enrollment, visita www.apple.com/mx/ iphone/business/resources (Mxico) o www.apple.com/la/iphone/business/resources (resto de Amrica Latina).

Eliminacin y revocacin de certificados

Para eliminar manualmente un certificado que ha sido instalado, selecciona Ajustes > General > Perfiles. Si eliminas un certificado requerido para el acceso a una cuenta o red, el dispositivo ya no podr conectarse a esos servicios. Para eliminar certificados a travs del aire, se puede usar un servidor de administracin de dispositivos mviles. Este servidor puede ver todos los certificados en un dispositivo y eliminar los instalados. Adems, el protocolo OCSP (Online Certificate Status Protocol) permite comprobar el estado de los certificados. Cuando se utiliza un certificado compatible con OCSP, iOS lo valida para garantizar que no ha sido revocado antes de completar la tarea solicitada.

2011 Apple Inc. Todos los derechos reservados. Apple, el logo Apple, iPhone, iPad y Mac OS son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros pases. Otros nombres de productos y compaas mencionados aqu pueden ser marcas registradas de sus respectivas compaas. Las especificaciones de productos estn sujetas a cambios sin previo aviso. Este material ese provisto solo a ttulo informativo; Apple no asume responsabilidad relacionada con su uso. Octubre de 2011 L419821B

Implementando iPhone e iPad Descripcin de seguridad

iOS, el sistema operativo del iPhone y el iPad, est basado en capas de seguridad. A travs de l, el iPhone y el iPad pueden acceder de forma segura a los servicios corporativos y proteger datos importantes. iOS ofrece encriptacin slida para los datos en transmisin, mtodos comprobados de autenticacin para acceso a los servicios corporativos, y encriptacin de hardware para todos los datos en reposo. iOS tambin brinda proteccin segura a travs del uso de polticas de contrasea que pueden ser distribuidas y ejecutadas a travs del aire. Adems, si el dispositivo cae en las manos equivocadas, los usuarios y administradores de TI pueden iniciar un comando de borrado remoto para eliminar la informacin privada. Al considerar la seguridad de iOS para uso empresarial, es til conocer lo siguiente:
Seguridad del dispositivo: mtodos que previenen el uso no autorizado del dispositivo Seguridad de datos: proteccin de los datos en reposo, incluso si el dispositivo est roto o perdido Seguridad de la red: protocolos de red y encriptacin de datos en transmisin Seguridad de apps: base segura para plataformas en iOS

Estas capacidades trabajan en conjunto para brindar una plataforma segura de informtica mvil.
Seguridad del dispositivo Contraseas fuertes Expiracin de la contrasea Historial de reutilizacin de la contrasea Mximo de intentos fallidos Ejecucin inalmbrica de contraseas Interrupcin progresiva de la contrasea

Seguridad del dispositivo

El establecimiento de polticas slidas para acceder al iPhone y al iPad es fundamental para proteger la informacin corporativa. Las contraseas de dispositivos son la primera lnea de defensa contra el acceso no autorizado, y pueden ser configuradas y aplicadas de forma inalmbrica. Los dispositivos iOS usan la contrasea establecida por cada usuario para generar una clave de encriptacin fuerte que protege an ms el correo y los datos sensibles de las aplicaciones en el dispositivo. Adems, iOS brinda mtodos seguros para configurar el dispositivo en un entorno empresarial con ajustes, polticas y restricciones especficas. Estos mtodos ofrecen opciones flexibles para el establecimiento de un nivel estndar de proteccin para usuarios autorizados. Polticas de contraseas Una contrasea en el dispositivo evita que los usuarios no autorizados accedan a los datos u obtengan acceso a ese dispositivo. iOS te permite seleccionar entre un amplio conjunto de requisitos de contraseas para atender tus necesidades de seguridad, como perodos de tiempo de espera, fuerza de la contrasea y frecuencia de modificacin de la contrasea. Son compatibles las siguientes polticas de contraseas: Solicitud de contrasea Permiso de valor simple Solicitud de valor alfanumrico Extensin mnima de contrasea Nmero mnimo de caracteres complejos Perodo mximo de contrasea Bloqueo automtico Historial de contraseas Perodo de gracia para bloqueo del dispositivo Nmero mximo de intentos fallidos

15

Ejecucin de polticas Las polticas descritas pueden aplicarse al iPhone y al iPad de diversas maneras. Las polticas pueden ser distribuidas como parte de un perfil de configuracin a instalar. Un perfil puede ser definido para que slo sea posible borrarlo con una contrasea de administrador, o bloqueado en el dispositivo sin que pueda eliminarse sin borrar por completo todos los contenidos del dispositivo. Adems, los ajustes de contraseas pueden ser configurados de forma remota usando soluciones de administracin de dispositivos mviles que pueden aplicar las polticas directamente al dispositivo. Esto permite que las polticas sean aplicadas y actualizadas sin interaccin por parte del usuario. Alternativamente, si el dispositivo est configurado para acceder a una cuenta de Microsoft Exchange, las polticas de Exchange ActiveSync son aplicadas de forma inalmbrica en el dispositivo. Ten en cuenta que el conjunto disponible de polticas puede variar dependiendo de la versin de Exchange (2003, 2007 2010). Consulta la gua de Exchange ActiveSync y dispositivos iOS para ver un detalle de las polticas para tu configuracin especfica. Configuracin segura de dispositivos
Polticas y restricciones configurables compatibles: Funcionalidad de dispositivos Instalacin de apps Uso de la cmara Uso de FaceTime Captura de pantalla Sincronizacin automtica durante la itinerancia Uso del marcado por voz Compras dentro de apps Solicitud de la contrasea de la tienda para todas las compras Juegos multijugadores Agregado de amigos a Game Center Aplicaciones Uso de YouTube Uso de iTunes Store Uso de Safari Configuracin de las preferencias de seguridad de Safari iCloud Copias de seguridad Sincronizacin de documentos y sincronizacin de valores clave Uso de Fotos en streaming Seguridad y privacidad Envo de datos de diagnstico a Apple Aceptacin de certificados no confiables por parte del usuario Ejecucin de copias de seguridad encriptadas Calificaciones de contenido Habilitacin de msica y podcasts explcitos Definicin de regiones de calificaciones Definicin de calificaciones de contenidos permitidos

Los perfiles de configuracin son archivos XML que contienen polticas de seguridad y restricciones, informacin de configuracin de la VPN, ajustes de Wi-Fi, cuentas de correo y calendario, y credenciales de autenticacin para que el iPhone y el iPad funcionen con los sistemas de tu empresa. La capacidad de establecer polticas de contraseas, junto con los ajustes del dispositivo en un perfil de configuracin, asegura que los dispositivos dentro de tu empresa estn configurados correctamente y de acuerdo con las normas de seguridad establecidas por tu organizacin. Adems, ya que los perfiles de configuracin pueden ser encriptados y bloqueados, los ajustes no pueden ser removidos, alterados o compartidos con otros. Los perfiles de configuracin pueden ser firmados y encriptados. La firma de un perfil de configuracin asegura que los ajustes no pueden ser alterados. La encriptacin de un perfil de configuracin protege los contenidos del perfil y slo lo instala en el dispositivo para el cual fue creado. Los perfiles de configuracin son encriptados usando CMS (Cryptographic Message Syntax, RFC 3852), compatible con 3DES y AES 128. La primera vez que distribuyes un perfil de configuracin encriptado, lo instalas a travs de sincronizacin por USB usando la herramienta de utilidad de configuracin o de forma inalmbrica a travs de Over-the-Air Enrollment. Adems de estos mtodos, la distribucin posterior de perfiles de configuracin encriptados puede ser realizada como adjuntos de correo electrnico, alojados en un sitio web accesible para los usuarios, o empujados al dispositivo a travs de soluciones de administracin de dispositivos mviles. Restricciones para dispositivos Las restricciones para dispositivos determinan las funcionalidades a las que los usuarios pueden acceder en el dispositivo. Por lo general, implican aplicaciones basadas en la red, como Safari, YouTube o el iTunes Store, pero las restricciones tambin pueden controlar funcionalidades como la instalacin de aplicaciones o el uso de la cmara. Las restricciones para dispositivos te permiten configurar el dispositivo segn tus necesidades, mientras permiten a los usuarios usar el dispositivo de manera consistente con las prcticas de tu negocio. Las restricciones pueden ser configuradas manualmente en cada dispositivo, aplicadas con un perfil de configuracin o establecidas de forma remota con soluciones de administracin de dispositivos mviles. Adems, las restricciones para la cmara y la navegacin web pueden aplicarse de forma inalmbrica a travs de Microsoft Exchange Server 2007 y 2010. Adems de establecer restricciones y polticas en el dispositivo, la aplicacin iTunes puede ser configurada y controlada por el rea de TI. Esto incluye deshabilitar el acceso al contenido explcito, definir qu usuarios de servicios de red pueden acceder dentro de iTunes, y si hay nuevas actualizaciones de software para instalar. Para ms informacin, consulta Implementar iTunes en dispositivos iOS.

16

Seguridad de los datos

Seguridad de los datos Encriptacin de hardware Proteccin de datos Borrado remoto Borrado local Perfiles de configuracin encriptados Copias de seguridad de iTunes encriptadas

Proteger los datos almacenados en el iPhone y el iPad es importante para cualquier entorno con un alto nivel de informacin confidencial corporativa o del cliente. Adems de encriptar datos en la transmisin, el iPhone y el iPad permiten la encriptacin de hardware para los datos almacenados en el dispositivo, y la encriptacin adicional de datos de correos y aplicaciones con una mejor proteccin de datos. Si un dispositivo se pierde o es robado es importante desactivar y borrar el dispositivo. Tambin, es una buena idea tener una poltica que borre el dispositivo despus de un nmero definido de intentos fallidos de ingreso de la contrasea, un impedimento clave contra los intentos de obtener acceso no autorizado al dispositivo. Encriptacin El iPhone y el iPad ofrecen encriptacin basada en el hardware. La encriptacin de hardware usa codificacin AES de 256 bits para proteger todos los datos en el dispositivo. La encriptacin est siempre activa y no puede ser deshabilitada por los usuarios. Adems, es posible encriptar los datos de las copias de seguridad de iTunes en la computadora de un usuario. Esto puede ser activado por el usuario o ejecutado mediante los ajustes de las restricciones del dispositivo en los perfiles de configuracin. iOS es compatible con S/MIME en el correo, lo que permite al iPhone y al iPad ver y enviar mensajes de correo electrnico encriptados. Las restricciones tambin pueden ser usadas para evitar que los mensajes de correo sean movidos entre cuentas o los mensajes recibidos en una cuenta sean reenviados desde otra. Proteccin de datos Gracias a las capacidades de encriptacin de hardware del iPhone y el iPad, los mensajes y adjuntos de correo electrnico almacenados en el dispositivo pueden ser protegidos con las funcionalidades de proteccin de datos de iOS. La proteccin de datos usa la contrasea de dispositivo de cada usuario, junto con la encriptacin de hardware en el iPhone y el iPad, para generar una slida clave de encriptacin. Esta clave evita el acceso a los datos cuando el dispositivo est bloqueado, garantizando que la informacin crtica est protegida incluso si el dispositivo se ve comprometido. Para activar la funcionalidad de proteccin de datos, slo tienes que establecer una contrasea en el dispositivo. La efectividad de la proteccin de datos depende de una contrasea fuerte, por lo que es importante exigir e implementar una contrasea mayor a cuatro dgitos a la hora de establecer sus polticas de contrasea corporativas. Los usuarios pueden verificar que la proteccin de datos est habilitada en tu dispositivo mirando la pantalla de ajustes de la contrasea. Las soluciones de administracin de dispositivos mviles tambin pueden consultar el dispositivo para obtener esta informacin. Estas API de proteccin de datos tambin estn disponibles para desarrolladores, y pueden ser usadas para proteger los datos de aplicaciones internas o comerciales en la empresa. Borrado remoto iOS permite el borrado remoto. Si un dispositivo se pierde o es robado, el administrador o dueo del dispositivo puede iniciar un comando de borrado remoto que elimina todos los datos y desactiva el dispositivo. Si el dispositivo est configurado con una cuenta de Exchange, el administrador puede iniciar un comando de borrado remoto con la consola de administracin de Exchange (Exchange Server 2007) o la herramienta web de administracin mvil de Exchange ActiveSync (Exchange Server 2003 2007). Los usuarios de Exchange Server 2007 tambin pueden iniciar comandos de borrado remoto directamente a travs de Outlook Web Access. Los comandos de borrado remoto tambin pueden ser iniciados por las soluciones de administracin de dispositivos mviles, incluso si los servicios corporativos de Exchange no estn en uso.

Intervalo progresivo de contrasea El iPhone y el iPad pueden ser configurados para iniciar automticamente un borrado despus de varios intentos fallidos de ingreso de la contrasea. Si un usuario ingresa varias veces la contrasea incorrecta, iOS se inhabilitar por intervalos cada vez ms largos. Luego de muchos intentos fallidos, se borrarn todos los datos y ajustes del dispositivo.

17

Borrado local Los dispositivos tambin pueden ser configurados para iniciar automticamente un borrado local despus de varios intentos fallidos de ingreso de la contrasea. Esto protege contra los intentos forzados de obtener acceso al dispositivo. Cuando se establece una contrasea, los usuarios pueden habilitar el borrado local directamente desde los ajustes. Por defecto, iOS borrar automticamente el dispositivo luego de 10 intentos fallidos. Al igual que con otras polticas de contrasea, el nmero mximo de intentos fallidos es establecido a travs de un perfil de configuracin, un servidor de administracin de dispositivos mviles o, de forma inalmbrica, con polticas de Microsoft Exchange ActiveSync. iCloud iCloud almacena msica, fotos, apps, calendarios, documentos y mucho ms, y los actualiza automticamente en todos los dispositivos del usuario. iCloud tambin hace copias de seguridad de la informacin, como ajustes del dispositivo, datos de apps, y mensajes de texto y MMS, todos los das a travs de Wi-Fi. iCloud protege tu contenido, ya que lo encripta cuando se enva por Internet, lo almacena en un formato cifrado y usa tokens de seguridad para la autenticacin. Adems, las funcionalidades de iCloud, como Fotos en streaming, sincronizacin de documentos y copias de seguridad, pueden ser deshabilitadas mediante un perfil de configuracin. Para ms informacin sobre la seguridad y privacidad de iCloud, visita http://support.apple.com/kb/HT4865?viewlocale=es_ES.
Seguridad de red Cisco IPSec, L2TP, PPTP VPN integrados VPN SSL va apps del App Store SSL/TLS con certificados X.509 WPA/WPA2 Enterprise con autenticacin 802.1x basada en certificados RSA SecurID, CRYPTOCard Protocolos de VPN Cisco IPSec L2TP/IPSec PPTP VPN SSL Mtodos de autenticacin Contrasea (MSCHAPv2) RSA SecurID CRYPTOCard Certificados digitales x.509 Secreto compartido Protocolos de autenticacin 802.1x EAP-TLS EAP-TTLS EAP-FAST EAP-SIM PEAP v0, v1 LEAP Formatos de certificados compatibles iOS es compatible con los certificados X.509 con claves RSA. Se reconocen las extensiones de archivos .cer, .crt y .der.

Seguridad de red
Los usuarios mviles deben poder acceder a las redes de informacin corporativa desde cualquier lugar del mundo. Sin embargo, es importante garantizar que los usuarios estn autorizados y que sus datos estn protegidos durante la transmisin. iOS ofrece tecnologas comprobadas para lograr estos objetivos de seguridad, tanto para conexiones Wi-Fi como de redes celulares. Adems de la infraestructura existente, cada sesin de FaceTime y la conversacin de iMessage es encriptada de punta a punta. iOS crea un ID nico para cada usuario, asegurando que las comunicaciones estn encriptadas, dirigidas y conectadas correctamente. VPN Muchos entornos empresariales tienen algn tipo de red privada virtual (VPN) establecida. Estos servicios de redes seguras ya estn implementados y, por lo general, requieren una configuracin mnima para funcionar con el iPhone y el iPad. Apenas lo sacas de la caja, iOS se integra con una amplia gama de tecnologas VPN usadas habitualmente a travs del soporte de Cisco IPSec, L2TP y PPTP. iOS es compatible con SSL VPN a travs de aplicaciones de Juniper, Cisco y F5 Networks. El soporte para esos protocolos garantiza el ms alto nivel de encriptacin basada en IP para la transmisin de informacin sensible. Adems de permitir el acceso seguro a los entornos de VPN, iOS ofrece mtodos comprobados para la autenticacin del usuario. Con la autenticacin a travs de certificados digitales x.509 estndar, los usuarios pueden acceder mejor a los recursos de la compaa y es una alternativa viable al uso de tokens basados en el hardware. Adems, con la autenticacin de certificados, iOS puede usar VPN On Demand, para que el proceso de autenticacin de VPN sea transparente, mientras brinda fuertes credenciales de acceso a los servicios de red. Para entornos empresariales que requieren un token de dos factores, iOS se integra con RSA SecurID y CRYPTOCard. iOS es compatible con la configuracin proxy de red, as como con la divisin de tunneling IP, para que el trfico a los dominios de redes pblicas o privadas sea transmitido de acuerdo con las polticas especficas de tu compaa.

18

SSL/TLS iOS es compatible con SSL v3, as como con Transport Layer Security (TLS v1.0, 1.1 y 1.2), el estndar de seguridad de ltima generacin para Internet. Safari, Calendario, Mail y otras aplicaciones de Internet inician automticamente estos mecanismos para habilitar un canal de comunicacin encriptado entre iOS y los servicios corporativos. WPA/WPA2 iOS es compatible con WPA2 Enterprise para brindar acceso autenticado a la red inalmbrica de tu empresa. WPA2 Enterprise emplea encriptacin AES de 128 bits, para que los usuarios puedan obtener el mayor nivel de seguridad respecto que sus datos permanecern protegidos a la hora de enviar y recibir comunicaciones a travs de una conexin de red Wi-Fi. Adems, con el soporte para 802.1x, el iPhone y el iPad pueden ser integrados en una amplia gama de entornos de autenticacin RADIUS.

Seguridad de las apps

Seguridad de las apps Proteccin del tiempo de ejecucin Firma obligatoria del cdigo Servicios de llavero API de CommonCrypto Proteccin de datos de aplicaciones

iOS es diseado con la seguridad en su ncleo. Incluye un mtodo aislado para la proteccin del tiempo de ejecucin de las aplicaciones y requiere la firma de la aplicacin para garantizar que las aplicaciones no pueden ser alteradas. iOS tambin tiene una estructura segura que facilita el almacenamiento seguro de credenciales de servicios de red y aplicaciones en un llavero encriptado. Para los desarrolladores, ofrece una arquitectura comn de encriptacin que puede ser usada para encriptar los datos de aplicaciones almacenados. Proteccin del tiempo de ejecucin Las aplicaciones en el dispositivo estn aisladas para que no puedan acceder a datos , almacenados por otras aplicaciones. Adems, los archivos del sistema, los recursos y el ncleo estn protegidos desde el espacio de la aplicacin del usuario. Si una aplicacin necesita acceder a los datos de otra aplicacin, slo puede hacerlo a travs de las API y los servicios provistos por iOS. Tambin se evita la generacin de cdigo. Firma obligatoria del cdigo Todas las aplicaciones de iOS deben estar firmadas. Las aplicaciones provistas con el dispositivo estn firmadas por Apple. Las aplicaciones de terceros estn firmadas por el desarrollador mediante un certificado emitido por Apple. Esto garantiza que las aplicaciones no han sido manipuladas o alteradas. Adems, se realizan controles del tiempo de ejecucin para garantizar que una aplicacin sigue siendo confiable desde la ltima vez que se utiliz. El uso de aplicaciones personalizadas o internas puede ser controlado con un perfil de aprovisionamiento. Los usuarios deben tener el perfil de aprovisionamiento instalado para ejecutar la aplicacin. Los perfiles de aprovisionamiento pueden ser instalados o revocados de forma inalmbrica usando soluciones de administracin de dispositivos mviles. Los administradores tambin pueden restringir el uso de una aplicacin a dispositivos especficos. Esquema seguro de autenticacin iOS ofrece llaveros seguros y encriptados para almacenar las identidades digitales, los nombres de usuario y las contraseas. Los datos del llavero son divididos para evitar el acceso a las credenciales almacenadas por aplicaciones de terceros desde aplicaciones con una identidad diferente. Esto proporciona el mecanismo para proteger las credenciales de autenticacin en el iPhone y el iPad a travs de una amplia gama de aplicaciones y servicios dentro de la empresa. Arquitectura Common Crypto Los desarrolladores de aplicaciones tienen acceso a las API de encriptacin, que pueden usar para proteger an ms los datos de sus aplicaciones. Los datos pueden ser encriptados mtricamente empleando mtodos comprobados, tales como AES, RC4 o 3DES. Adems, el iPhone y el iPad ofrecen aceleracin de hardware para encriptacin AES y hash SHA1, maximizando el desempeo de las aplicaciones.

19

Proteccin de los datos de las aplicaciones Las aplicaciones tambin pueden emplear la encriptacin de hardware incluida en el iPhone y el iPad para proteger an ms los datos sensibles de las aplicaciones. Los desarrolladores pueden designar a archivos especficos para la proteccin de datos, dando instrucciones al sistema para que el contenido del archivo sea criptogrficamente inaccesible para la aplicacin y para cualquier intruso potencial cuando se bloquea el dispositivo. Apps administradas Un servidor MDM puede administrar apps de terceros en el App Store, as como apps internas de la empresa. La designacin de una app como administrada permite que el servidor especifique si la app y sus datos pueden ser eliminados del dispositivo por el servidor MDM. Adems, el servidor puede evitar que los datos de la app administrada sean respaldados en iTunes e iCloud. As, el rea de TI puede administrar apps que pueden contener informacin confidencial de la empresa con ms control que con las apps descargadas directamente por el usuario. Para instalar una app administrada el servidor MDM enva un comando de instalacin al dispositivo. Las apps administradas requieren la aceptacin del usuario antes de ser instaladas.

Dispositivos revolucionarios y completamente seguros

El iPhone y el iPad ofrecen proteccin encriptada de los datos en trnsito, en reposo e incluidos en las copias de seguridad de iCloud e iTunes. Si un usuario est accediendo al correo electrnico corporativo, visitando un sitio web privado o autenticando su ingreso a la red corporativa, iOS garantiza que nicamente los usuarios autorizados puedan acceder a la informacin corporativa sensible. Adems, con su soporte para redes de nivel empresarial y mtodos completos para prevenir la prdida de datos, puedes implementar los dispositivos iOS con la confianza de que ests implementando la mejor proteccin de datos y seguridad para dispositivos mviles.

2011 Apple Inc. Todos los derechos reservados. Apple, el logo de Apple logo, FaceTime, iPad, iPhone, iTunes y Safari son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros pases. iCloud e iTunes Store son marcas de servicio de Apple Inc., registradas en los EE.UU. y en otros pases. App Store es marca de servicio de Apple Inc. Otros nombres de productos y compaas mencionados aqu pueden ser marcas registradas de sus respectivas compaas. Las especificaciones de productos estn sujetas a cambios sin previo aviso. Octubre de 2011 L422500B

Implementando iPhone e iPad Administracin de dispositivos mviles

iOS es compatible con la administracin de dispositivos mviles, brindando a las empresas la capacidad de administrar implementaciones a escala del iPhone y el iPad en todas sus organizaciones. Estas capacidades MDM estn basadas en las tecnologas iOS existentes, como los perfiles de configuracin, Over-the-Air Enrollment y el servicio de notificacin push de Apple, adems pueden ser integradas con soluciones de servidor internas o de terceros. Con esto, los departamentos de TI pueden registrar el iPhone y el iPad de forma segura en un entorno empresarial, configurar y actualizar de forma inalmbrica los ajustes, monitorear el cumplimiento de las polticas corporativas e, incluso, borrar o bloquear de forma remota los dispositivos administrados.

Cmo administrar el iPhone y el iPad

La administracin de dispositivos iOS se realiza a travs de una conexin a un servidor de administracin de dispositivos mviles. Este servidor puede ser creado internamente por TI o comprado a otro proveedor. El dispositivo se comunica con el servidor para ver si hay tareas pendientes y responde con las acciones apropiadas. Estas tareas pueden incluir la actualizacin de polticas, la provisin de la informacin de dispositivos o redes solicitada, o la eliminacin de ajustes y datos.

La mayora de las funciones de administracin son realizadas detrs de escena, sin interaccin del usuario. Por ejemplo, si un departamento de TI actualiza su infraestructura de VPN, el servidor MDM puede configurar el iPhone y el iPad con la nueva informacin de cuenta a travs del aire. La prxima vez que la VPN es usada por el empleado, la configuracin adecuada ya estar instalada, por lo que el empleado no necesita llamar a la mesa de ayuda o modificar manualmente los ajustes.
Firewall

Servicio de notificacin push de Apple

Servidor MDM de terceros

21

MDM y el servicio de notificacin push de Apple

Cuando un servidor MDM desea comunicarse con el iPhone o el iPad, se enva una notificacin silenciosa al dispositivo a travs del servicio de notificacin push de Apple, solicitando que se conecte al servidor. El proceso de notificacin del dispositivo no enva ningn tipo de informacin confidencial o del servicio de notificacin push de Apple. La nica tarea que realiza la notificacin es despertar al dispositivo para que se conecte al servidor MDM. Toda la informacin de configuracin, ajustes y consultas es enviada directamente desde el servidor al dispositivo iOS a travs de una conexin SSL/TLS encriptada entre el dispositivo y el servidor MDM. iOS maneja todas las solicitudes y acciones de MDM en un segundo plano para limitar el impacto en la experiencia del usuario, incluyendo la duracin de la batera, el desempeo y la confiabilidad. Para que el servidor de notificaciones push reconozca los comandos del servidor MDM, debe instalarse un primer certificado en el servidor. Este certificado debe ser solicitado y descargado desde el Portal de Certificados Push de Apple. Una vez que el certificado de notificacin push de Apple es cargado en el servidor de MDM, los dispositivos pueden comenzar a registrarse. Configuracin de la red de notificaciones push de Apple Cuando los servidores MDM y los dispositivos IOS estn detrs del cortafuegos, son necesarias algunas configuraciones de red para que el servicio MDM funcione correctamente. Para enviar notificaciones desde un servidor MDM al servicio de notificaciones push de Apple, el puerto TCP 2195 debe estar abierto. Para llegar al servicio de informacin, el puerto TCP 2196 tambin debe estar abierto. Para dispositivos que se conectan al servicio push a travs de Wi-Fi, el puerto TCP 5223 debe estar abierto. El rango de direcciones IP para el servicio push est sujeto a cambios; la expectativa es que un servidor MDM se conectar por nombre de host antes que por direccin IP. El servicio push emplea un esquema de equilibrio de carga que genera una direccin IP diferente para el mismo nombre de host. Este nombre es gateway.push.apple. com (y gateway.sandbox.push.apple.com para el entorno de notificaciones push de desarrollo). Adems, todo el bloque 17.0.0.0/8 est asignado a Apple, por lo que las reglas del cortafuegos pueden ser establecidas para especificar ese rango. Para ms informacin, consulta a tu proveedor de MDM o mira la Nota Tcnica para Desarrolladores TN2265 en la Biblioteca para Desarrolladores de iOS en http://developer.apple.com/library/ ios/#technotes/tn2265/_index.html.

iOS and SCEP iOS es compatible con el protocolo SCEP (Simple Certificate Enrollment Protocol). SCEP es un borrador de Internet, el IETF, y est diseado para proporcionar una forma simplificada de manejar la distribucin de certificados para implementaciones a gran escala. Esto permite el registro inalmbrico de los certificados de identidad para iPhone e iPad, que pueden ser usados para la autenticacin en los servicios corporativos.

Registro
Una vez que se configuran el servidor MDM y la red, el primer paso en la administracin del iPhone o el iPad es registrarlos con un servidor MSM. Esto crea una relacin entre el dispositivo y el servidor, permitiendo que el dispositivo sea administrado sin intervencin del usuario. Esto puede ser realizado conectando el iPhone o el iPad a una computadora a travs de USB, pero la mayora de las soluciones cuentan con un perfil de registro inalmbrico. Para comenzar este proceso, algunos proveedores de MDM usan una app, y otros inician el registro dirigiendo a los usuarios a un portal web. Cada mtodo tiene sus ventajas, y ambos son usados para iniciar el proceso de Over-the-Air Enrollment a travs de Safari.

22

Descripcin del proceso de registro El proceso de Over-the-Air Enrollment involucra fases que estn combinadas en un flujo de trabajo automatizado, para brindar una manera segura de registrar dispositivos dentro de la empresa. Estas fases son: 1. Autenticacin de usuarios La autenticacin de usuario asegura que las solicitudes de registro entrantes sean de usuarios autorizados y que la informacin del dispositivo del usuario sea capturada antes de proceder al registro del certificado. Los administradores pueden solicitar al usuario que inicie el proceso de registro a travs de un portal web, correo electrnico, mensaje SMS o, incluso, una app. 2. Registro de certificados Una vez autenticado el usuario, iOS genera una solicitud de registro del certificado usando el SCEP (Simple Certificate Enrollment Protocol). Esta solicitud de registro se comunica directamente con la Autoridad de Certificacin de la empresa, y habilita al iPhone y al iPad para recibir el certificado de identidad en respuesta. 3. Configuracin de dispositivos Una vez que se instala un certificado de identidad el dispositivo puede recibir informacin de configuracin encriptada a travs del aire. Esta informacin slo puede ser instalada en el dispositivo y contiene los ajustes necesarios para conectar al servidor MDM. Al final del proceso de registro, el usuario ver una pantalla de instalacin que describe los derechos de acceso al servidor MDM contenidos en el dispositivo. Al aceptar la instalacin del perfil el dispositivo del usuario es registrado automticamente, sin necesidad de interaccin. Una vez que el iPhone y el iPad estn registrados como dispositivos administrados pueden ser configurados dinmicamente con los ajustes, consultados en busca de informacin o eliminados de forma remota por el servidor MDM.

Configuracin
Para configurar un dispositivo con cuentas, polticas y restricciones, el servidor MDM enva archivos, conocidos como perfiles de configuracin, al dispositivo, que son instalados automticamente. Los perfiles de configuracin son archivos XML que contienen ajustes, como informacin de cuenta, polticas de contraseas, restricciones y otros ajustes del dispositivo, para que el dispositivo funcione con tus sistemas empresariales. Cuando se combina con el proceso de registro discutido previamente, la configuracin de dispositivos brinda al rea de TI la garanta de que solamente los usuarios de confianza tienen acceso a los servicios corporativos, y que sus dispositivos estn configurados correctamente con las polticas establecidas.

23

Adems, ya que los perfiles de configuracin pueden ser firmados y encriptados, los ajustes no pueden ser alterados o compartidos con otros.

Ajustes configurables compatibles

Cuentas Exchange ActiveSync Correo IMAP/POP Wi-Fi VPN LDAP CardDAV CalDAV Calendarios aceptados Funcionalidad de dispositivos Instalacin de apps Uso de la cmara Uso de FaceTime Captura de pantalla Sincronizacin automtica durante la itinerancia Uso del marcado por voz Compras dentro de apps Solicitud de la contrasea de la tienda para todas las compras Juegos multijugadores Agregado de amigos a Game Center Aplicaciones Uso de YouTube Uso de iTunes Store Uso de Safari Configuracin de preferencias de seguridad de Safari

Polticas de contrasea Solicitud de contrasea en el dispositivo Permiso de valor simple Solicitud de valor alfanumrico Extensin mnima de contrasea Nmero mnimo de caracteres complejos Perodo mximo de contrasea Tiempo antes del bloqueo automtico Historial de contrasea Perodo de gracia para bloqueo del dispositivo Nmero mximo de intentos fallidos Seguridad y privacidad Envo de datos de diagnstico a Apple Aceptacin de certificados no confiables por parte del usuario Ejecucin de copias de seguridad encriptadas Otros ajustes Credenciales Clips web Ajustes de SCEP Ajustes de APN

iCloud Copias de seguridad Sincronizacin de documentos y valores claves Uso de Fotos en streaming Calificaciones de contenido Habilitacin de msica y podcasts explcitos Definicin de regiones de calificaciones Definicin de calificaciones de contenidos permitidos

24

Consulta de dispositivos
Adems de configurar los dispositivos, el servidor MDM tiene la capacidad de consultar diversa informacin en los dispositivos. Esta informacin puede ser usada para que los productos sigan cumpliendo con las polticas necesarias.

Consultas compatibles
Informacin del dispositivo Unique Device Identifier (UDID) Nombre del dispositivo iOS y versin de iOS Nombre y nmero del modelo Nmero de serie Capacidad y espacio disponible IMEI Firmware del mdem Nivel de la batera Informacin de red ICCID Direcciones de Bluetooth y Wi-Fi MAC Red del operador actual Red del operador del abonado Versin de los ajustes del operador Nmero de telfono Ajuste de itinerancia de datos (on/off) Informacin de cumplimiento y seguridad Perfiles de configuracin instalados Certificados instalados con fecha de expiracin Lista de todas las restricciones aplicadas Capacidad de encriptacin de hardware Presentacin de contrasea

Aplicaciones Aplicaciones instaladas (ID, nombre, versin, tamao y tamao de datos) Aprovisionamiento de perfiles instalados con fechas de expiracin

Administracin
Con la Administracin de Dispositivos Mviles, hay una serie de funciones de un servidor MDM que se pueden realizar en los dispositivos iOS. Estas tareas incluyen la instalacin y la eliminacin de los perfiles de configuracin y aprovisionamiento, la administracin de apps, la finalizacin de la relacin del MDM y el borrado remoto de un dispositivo. Ajustes administrados Durante el proceso inicial de configuracin de un dispositivo, el servidor MDM enva perfiles de configuracin al iPhone y el iPad, que son instalados en un segundo plano. Con el tiempo, los ajustes y las polticas aplicadas en el momento del registro pueden tener que ser actualizados o cambiados. Para realizar estos cambios, un servidor MDM puede instalar nuevos perfiles de configuracin, y modificar o eliminar perfiles existentes en cualquier momento. Adems, es posible tener que instalar las configuraciones especficas del contexto en los dispositivos iOS, dependiendo de la ubicacin de un usuario o su rol en la organizacin. Por ejemplo, si un usuario est viajando a otro pas, el servidor MDM puede requerir que las cuentas de correo sean sincronizadas manualmente, y no automticamente. Incluso, el servidor MDM puede deshabilitar de forma remota los servicios de voz y datos para evitar que un usuario incurra en cargos por itinerancia de un proveedor de servicios inalmbricos. Apps administradas Un servidor MDM puede administrar apps de terceros en el App Store, as como apps internas de la empresa. La designacin de una app como administrada permite que el servidor especifique si la app y sus datos pueden ser eliminados del dispositivo por el servidor MDM. Adems, el servidor MDM puede evitar que los datos de la app administrada sean respaldados en iTunes e iCloud.

25

Para instalar una app administrada, el servidor MDM envia un comando de instalacin al dispositivo del usuario. Las apps administradas requieren la aceptacin del usuario previo a ser instaladas. Cuando un servidor MDM solicita la instalacin de una app administrada desde el App Store, la app ser canjeada con la cuenta de iTunes utilizada en el momento de instalar la app.

Eliminacin o borrado de dispositivos

Si un dispositivo se encuentra fuera de poltica, se ha perdido o fue robado, o si un empleado deja la empresa, un servidor MDM puede tomar medidas para proteger la informacin corporativa de varias maneras. Un administrador de TI puede terminar la relacin de MDM con un dispositivo mediante la eliminacin del perfil de configuracin que contiene la informacin del servidor MDM. De ese modo, se quitan todas las cuentas, ajustes y apps que eran responsables por la instalacin. Alternativamente, el rea de TI puede mantener el perfil de configuracin MDM en el lugar y usar MDM slo para quitar los perfiles de configuracin, perfiles de aprovisionamiento y las apps administradas especficas que desea eliminar. Este enfoque mantiene al dispositivo administrado por MDM y elimina la necesidad de volver a registrarlo una vez que est dentro de la poltica. Ambos mtodos brindan al rea de TI la capacidad de asegurar que la informacin nicamente est disponible para los usuarios y dispositivos compatibles, y garantiza que los datos corporativos sean quitados sin interferir con los datos personales del usuario, tales como msica, fotos o apps personales. Para eliminar definitivamente todos los contenidos y datos en el dispositivo, y restaurar los ajustes de fbrica, MDM puede borrar el iPhone y el iPad de forma remota. Si un usuario sigue buscando el dispositivo el rea de TI tambin puede optar por enviar un comando de bloqueo remoto al dispositivo. Esto bloquea la pantalla y solicita la contrasea del usuario para desbloquearlo. Si un usuario ha olvidado la contrasea, el servidor MDM puede eliminarla desde el dispositivo y pedir al usuario que cree una nueva en un plazo de 60 minutos.

Comandos de administracin compatibles

Ajustes administrados Instalacin de perfil de configuracin Eliminacin de perfil de configuracin Itinerancia de datos Itinerancia de voz (no est disponible en todos los operadores) Apps administradas Instalacin de app administrada Eliminacin de app administrada Mostrar todas las apps administradas Instalacin de perfil de aprovisionamiento Eliminacin de perfil de aprovisionamiento

Comandos de seguridad Borrado remoto Bloqueo remoto Limpiar contrasea

26

Descripcin del proceso

Este ejemplo describe una implementacin bsica de un servidor de administracin de dispositivos mviles.
1 Firewall

2 4 Servidor de notificaciones push de Apple Servidor MDM de terceros

Un perfil de configuracin que contiene la informacin del servidor de administracin de dispositivos mviles es enviado al dispositivo. El usuario recibe la informacin sobre qu ser administrado y/o consultado por el servidor. El usuario instala el perfil a ser incluido en el dispositivo administrado. El registro del dispositivo tiene lugar a medida que el perfil es instalado. El servidor valida el dispositivo y permite el acceso. El servidor enva una notificacin push que lleva al dispositivo a verificar tareas o consultas. El dispositivo se conecta directamente al servidor sobre HTTPS. El servidor enva comandos o solicita informacin.

2 3 4 5

2011 Apple Inc. Todos los derechos reservados. Apple, el logo de Apple, FaceTime, iPad, iPhone, iTunes y Safari son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros pases. iCloud e iTunes Store son marcas de servicio de Apple Inc., registradas en los EE.UU. y en otros pases. App Store es una marca de servicio de Apple Inc. La palabra Bluetooth es una marca registrada de Bluetooth SIG, Inc., y cualquier uso de tal marca por Apple est bajo licencia. UNIX es una marca registrada de The Open Group. Otros nombres de productos y compaas mencionados aqu pueden ser marcas registradas de sus respectivas compaas. Las especificaciones de productos estn sujetas a cambios sin previo aviso. Octubre de 2011 L422501B