iPhone e iPad en la empresa - Apple

iPhone e iPad en la empresa
Escenarios de implementación
Octubre de 2011
Conoce cómo el iPhone y el iPad se integran perfectamente en los entornos
empresariales con estos escenarios de implementación.
• Microsoft Exchange ActiveSync
• Servicios basados en estándares
• Redes privadas virtuales
• Wi-Fi
• Certificados digitales
• Descripción de seguridad
• Administración de dispositivos móviles

Políticas de seguridad compatibles con
Exchange ActiveSync
• Borrado remoto
• Dispositivos con contraseña
• Tamaño mínimo de contraseña
• Intentos máximos fallidos de ingreso de
contraseña (antes de Borrado local)
• Solicitud de números y letras
• Tiempo de inactividad en minutos
(1 a 60 minutos)
Políticas adicionales de Exchange
ActiveSync (sólo para Exchange 2007
y 2010)
• Permitir o prohibir contraseñas simples
• Expiración de contraseñas
• Historial de contraseñas
• Intervalo de renovación de políticas
• Número mínimo de caracteres complejos
en la contraseña
• Activación de la sincronización manual
durante la itinerancia
• Activación de la cámara
• Activación de la navegación web
Implementando iPhone e iPad
Exchange ActiveSync
iPhone e iPad se comunican directamente con tu Microsoft Exchange Server a través de
Microsoft Exchange ActiveSync (EAS), lo que cual permite actualizar correos, calendarios,
contactos y tareas. Con Exchange ActiveSync, los usuarios también pueden acceder a
la lista global de direcciones (GAL), y los administradores, a las capacidades de borrado
remoto y ejecución de políticas con contraseñas. iOS es compatible con la autenticación
básica y basada en certificados para Exchange ActiveSync. Si tu empresa es compatible
con Exchange ActiveSync, tienes los servicios necesarios para implementar el iPhone y
el iPad, sin necesidad de configuración adicional. Si tienes Exchange Server 2003, 2007 ó
2010, pero tu compañía es nueva en Exchange ActiveSync, consulta los pasos siguientes.
Configuración de Exchange ActiveSync
Descripción de la configuración de red
• Verifica que el puerto 443 esté abierto en el firewall. Si tu compañía permite el acceso
web a Outlook, posiblemente el puerto 443 ya esté abierto.
• En el servidor de front-end, verifica que el certificado del servidor esté instalado y
habilita SSL para el directorio virtual de Exchange ActiveSync en IIS.
• Si estás usando un servidor ISA (Internet Security and Acceleration) de Microsoft, verifica
que haya instalado un certificado de servidor y actualiza el DNS público para resolver las
conexiones entrantes.
• Asegúrate que el DNS de tu red devuelve una única dirección con ruta externa para el
servidor Exchange ActiveSync en clientes de intranet e Internet. Esto es necesario para
que el dispositivo pueda usar la misma dirección IP para comunicarse con el servidor
cuando ambos tipos de conexiones están activas.
• Si estás usando un servidor ISA de Microsoft, crea un “web listener”, así como una regla
de publicación de acceso al cliente web de Exchange. Consulta la documentación de
Microsoft para ver más detalles.
• Para todos los firewalls y dispositivos de red, define el tiempo de espera de sesión
inactiva en 30 minutos. Para obtener información sobre los intervalos de latidos y
espera, consulta la documentación de Microsoft Exchange en http://technet.microsoft.
com/es-mx/library/cc182270(en-us).aspx.
• Configura las funciones móviles, las políticas y la configuración del dispositivo de
seguridad con el administrador del sistema de Exchange. Para Exchange Server 2007 y
2010 puedes hacer esto en la consola de administración de Exchange.
• Descarga e instala la herramienta web de administración móvil de Microsoft Exchange
ActiveSync, necesaria para iniciar un borrado remoto. Para Exchange Server 2007 y
2010, el borrado remoto también puede ser iniciado mediante Outlook Web Access o la
consola de administración de Exchange.

Otros servicios de Exchange ActiveSync
• Búsqueda en la lista global de direcciones
• Acepta y crea invitaciones del calendario
• Sincroniza tareas
• Marca mensajes de correo electrónico con
banderas
• Sincroniza las banderas de Respuesta y
Envío con Exchange Server 2010
• Búsqueda de Mail en Exchange Server
2007 y 2010
• Soporte para varias cuentas de Exchange
ActiveSync
• Autenticación basada en certificados
• Actualización de correos en carpetas
seleccionadas
• Identificación automática
Autenticación básica (nombre de usuario y contraseña)
• Habilita Exchange ActiveSync para los usuarios o grupos específicos que usan el
servicio Active Directory. Esto está habilitado de forma predeterminada en todos los
dispositivos móviles a nivel de la organización en Exchange Server 2003, 2007 y 2010.
Para Exchange Server 2007 y 2010, consulta la configuración del destinatario en la
consola de administración de Exchange.
• Exchange ActiveSync está configurado de forma predeterminada para la autenticación
básica del usuario. Se recomienda que habilites SSL para la autenticación básica, lo
cual garantiza la encriptación de las credenciales durante la autenticación.
Autenticación basada en certificados
• Instala los servicios de certificados corporativos en un servidor miembro o controlador
de dominio en tu dominio (este será tu servidor de autoridad de certificación).
• Configura IIS en tu servidor de front-end o servidor de acceso cliente de Exchange
para aceptar la autenticación basada en certificados en el directorio virtual de
Exchange ActiveSync.
• Para permitir o requerir certificados para todos los usuarios, deshabilita la “Autenticación
básica” y selecciona “Aceptar certificados cliente” o “Requerir certificados cliente”.
• Genera certificados cliente usando tu servidor de autoridad de certificación. Exporta
la clave pública y configura IIS para usar esta clave. Exporta la clave privada y usa un
perfil de configuración para generar esta clave en el iPhone y el iPad. La autenticación
basada en certificados sólo puede ser configurada usando un perfil de configuración.
Para más información sobre servicios de certificados, consulta los recursos disponibles
en Microsoft.
3

Escenario de implementación de Exchange ActiveSync
Este ejemplo muestra cómo el iPhone y el iPad se conectan a una implementación normal de Microsoft Exchange Server 2003, 2007 ó 2010.
Perfil de configuración
1
2
3
4
5
6
Internet
Mail Gateway o
Edge Transport Server*
Firewall Firewall
443
1
Clave privada (certificado)
Servidor proxy
Bridgehead o
Hub Transport Server
*Dependiendo de la configuración de tu red, el Mail Gateway o Edge Transport Server puede residir en la red del perímetro (DMZ).
Servidor de certificados
Directorio Activo
Servidor de front-end o de
acceso cliente de Exchange
Exchange Mailbox o
Back-End Server(s)
Clave pública
(certificado)
El iPhone y el iPad solicitan acceso a los servicios de Exchange ActiveSync en el puerto 443 (HTTPS) (este es el mismo puerto usado por
Outlook Web Access y otros servicios web seguros, por lo que, en muchas implementaciones, este puerto ya está abierto y configurado para el
tráfico HTTPS encriptado en SSL).
ISA brinda acceso al servidor de front-end o de acceso cliente de Exchange. ISA está configurado como un proxy o, en muchos casos, como un
proxy inverso, para dirigir el tráfico a Exchange Server.
Exchange Server autentica al usuario entrante a través del servicio Active Directory y el servidor de certificados (si emplea autenticación basada
en certificados).
Si el usuario brinda las credenciales apropiadas y tiene acceso a los servicios de Exchange ActiveSync, el servidor de front-end establece una
conexión a la casilla de correo apropiada en el servidor de back-end (a través del catálogo global de Active Directory).
Se establece la conexión a Exchange ActiveSync. Las actualizaciones/cambios son empujados de forma inalámbrica, y cualquier cambio en el
iPhone y el iPhone se ve reflejado en Exchange Server.
El envío de elementos de correo en iPhone también está sincronizado con Exchange Server vía Exchange ActiveSync (paso 5). Para dirigir el
correo saliente a destinatarios externos, el correo suele ser enviado a través de un Bridgehead (o Hub Transport) Server hacia un Mail Gateway
(o Edge Transport Server) externo vía SMTP. Dependiendo de la configuración de tu red, el Mail Gateway o Edge Transport Server externo puede
residir dentro de la red del perímetro o fuera del firewall.
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logo Apple, iPhone, iPad y Mac OS son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros países. Otros nombres de productos y
compañías mencionados aquí pueden ser marcas registradas de sus respectivas compañías. Las especificaciones de productos están sujetas a cambios sin previo aviso. Este material ese provisto solo a título
informativo; Apple no asume responsabilidad relacionada con su uso. Octubre 2011 L419822B
6
2
3
5
4
4

Puertos comunes
• IMAP/SSL: 993
• SMTP/SSL: 587
• LDAP/SSL: 636
• CalDAV/SSL: 8443, 443
• CardDAV/SSL: 8843, 443
Soluciones de correo IMAP o POP
iOS es compatible con los servidores de
correo IMAP4 y POP3 habituales en la
industria para una amplia gama de plataformas
de servidores, como Windows,
UNIX, Linux y Mac OS X.
Estándares CalDAV y CardDAV
iOS es compatible con los protocolos de
calendarios CalDAV y contactos CardDAV.
Ambos protocolos han sido estandarizados
por el IETF. Encuentra más información
a través del consorcio CalConnect
en http://caldav.calconnect.org/ y http://
carddav.calconnect.org/.
Implementando iPhone e iPad
Servicios basados en
estándares
Con soporte para protocolo de correo IMAP, servicios de directorio LDAP, y protocolos de
calendarios CalDAV y contactos CardDAV, el iOS puede ser integrado con casi todos los
entornos de correo, calendarios y contactos basados en estándares. Si tu entorno de red
está configurado para requerir autenticación de usuario y SSL, el iPhone y el iPad ofrecen
un método seguro para acceder al correo, los calendarios y los contactos corporativos
basados en estándares.
En una implementación típica, el iPhone y el iPad establecen el acceso directo a servidores
de correo IMAP y SMTP para recibir y enviar correos a través del aire, y también puede
sincronizar notas inalámbricamente con servidores IMAP. Los dispositivos iOS se conectan
a los directorios LDAP v3 de tu compañía, para que los usuarios accedan a los contactos
corporativos en las aplicaciones Mail, Contactos y Mensajes. Con la sincronización con
el servidor CalDAV, los usuarios pueden crear y aceptar invitaciones de calendario,
recibir actualizaciones del calendario y sincronizar tareas con la app Recordatorios.
Con el soporte para CardDAV, los usuarios pueden mantener una serie de contactos
sincronizados con tu servidor CardDAV usando el formato vCard. Todos los servidores de
red pueden estar situados dentro de una subred DMZ, detrás de un firewall corporativo,
o en ambos. Con SSL, iOS es compatible con la encriptación de 128 bits y los certificados
raíz X.509 emitidos por las principales autoridades de certificación.
Configuración de red
Su administrador de TI o de red debe completar estos pasos clave para habilitar el acceso
desde el iPhone y el iPad a los servicios IMAP, LDAP, CalDAV y CardDAV:
• Abrir los puertos adecuados en el firewall. Los puertos más comunes son el 993 para el
correo IMAP, el 587 para el correo SMTP, el 636 para servicios de directorio LDAP, el 8443
para calendarios CalDAV y el 8843 para contactos CardDAV. También, se recomienda que
la comunicación entre tu servidor proxy y tus servidores IMAP, LDAP, CalDAV y CardDAV
de back-end sea configurada para utilizar SSL y que los certificados digitales en tus
servidores de red sean firmados por una autoridad certificadora de confianza, como
VeriSign. Este importante paso asegura que el iPhone y el iPad reconozcan el servidor
proxy como una entidad de confianza dentro de tu infraestructura corporativa.
• Para correo SMTP saliente debe abrirse el puerto 587, 465 ó 25 para permitir el envío de
correos electrónicos. El iPhone verifica automáticamente el puerto 587, luego el 465 y,
luego, el 25. El puerto 587 es el más confiable y seguro, ya que requiere autenticación de
usuario. El puerto 25 no requiere autenticación y algunos proveedores de servicios de
Internet bloquean este puerto de forma predeterminada para evitar el spam.

Escenario de implementación
Este ejemplo muestra cómo el iPhone y el iPad se conectan a una implementación típica de IMAP, LDAP, CalDAV y CardDAV.
1
2
3
4
5
6
Internet
Firewall Firewall
636
(LDAP)
8443
(CalDAV)
1
8843
(CardDAV)
993 (IMAP)
587 (SMTP)
Servidor reverse proxy
El iPhone y el iPad solicitan acceso a los servicios de red sobre los puertos designados.
Dependiendo del servicio, los usuarios deben autenticar ya sea con el reverse proxy o directamente con el servidor para obtener
acceso a los datos corporativos. En todos los casos, las conexiones son transmitidas por el reverse proxy, que funciona como un
gateway seguro, por lo general detrás del firewall de Internet de la compañía. Una vez autenticado, el usuario puede acceder a
sus datos corporativos en los servidores de back-end.
El iPhone y el iPad ofrecen servicios de búsqueda en directorios LDAP, para que los usuarios puedan buscar contactos y otra
información de la libreta de direcciones en el servidor LDAP.
Para calendarios CalDAV, los usuarios pueden acceder y actualizar calendarios.
Servidor de directorio
LDAP
Servidor de Mail
Los contactos de CardDAV son almacenados en el servidor y se puede acceder a ellos localmente desde el iPhone y el iPad. Los
cambios en los campos de contactos de CardDAV vuelven a ser sincronizados con el servidor de CardDAV.
Para los servicios de correo IMAP, los mensajes nuevos y actuales pueden ser leídos en el iPhone y el iPad a través de la conexión
proxy con el servidor de correo. El correo saliente en el iPhone es enviado al servidor SMTP, con copias en la carpeta Enviados
del usuario.
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logo Apple, iPhone, iPad y Mac OS son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros países. Otros nombres de productos y
compañías mencionados aquí pueden ser marcas registradas de sus respectivas compañías. Las especificaciones de productos están sujetas a cambios sin previo aviso. Este material ese provisto solo a título
informativo; Apple no asume responsabilidad relacionada con su uso. Octubre de 2011 L419827B
2
3
4
5
6
Servidor de CalDAV
Servidor de CardDAV
6

Implementando iPhone e iPad
Redes privadas virtuales
El acceso seguro a redes privadas corporativas está disponible en el iPhone y el iPad
mediante los protocolos VPN establecidos, habituales en la industria. Los usuarios pueden
conectarse fácilmente a los sistemas empresariales a través del cliente VPN integrado en
iOS o mediante aplicaciones de Juniper, Cisco y F5 Networks.
Apenas lo sacas de la caja, iOS es compatible con Cisco IPSec, L2TP over IPSec y PPTP. Si tu
organización emplea alguno de estos protocolos, no necesitas otra configuración de red o
aplicaciones de terceros para conectar el iPhone y el iPad a tu VPN.
Además, iOS es compatible con VPN SSL, que permite el acceso a los servidores de VPN SSL
de Juniper SA Series, Cisco ASA y F5 BIG-IP Edge Gateway. Para empezar, los usuarios sólo
tienen que descargar una aplicación de cliente VPN desarrollada por Juniper, Cisco o F5
desde el App Store. Al igual que otros protocolos VPN compatibles con iOS, SSL VPN puede
ser configurado manualmente en el dispositivo o por medio de un perfil de configuración.
iOS es compatible con las tecnologías estándar en la industria, tales como IPv6, servidores
proxy y split-tunneling, proporcionando una rica experiencia de VPN para conectarse a
redes corporativas. Además, iOS funciona con varios métodos de autenticación, incluyendo
contraseñas, tokens de dos factores y certificados digitales. Para mejorar la conexión en
entornos que utilizan la autenticación basada en certificados, iOS incluye VPN On Demand,
que inicia dinámicamente una sesión de VPN para conectarse a dominios específicos.
Protocolos y métodos de autenticación compatibles
SSL VPN
Es compatible con la autenticación de usuarios mediante contraseñas, tokens de dos
factores y certificados.
Cisco IPSec
Es compatible con la autenticación de usuarios mediante contraseñas, tokens de dos
factores y autenticación de máquinas por certificados y secreto compartido.
L2TP over IPSec
Es compatible con la autenticación de usuarios mediante contraseña MS-CHAP v2, tokens
de dos factores y autenticación de máquinas por secreto compartido.
PPTP
Es compatible con la autenticación de usuarios mediante contraseña MS-CHAP v2 y
tokens de dos factores.

VPN On Demand
Para las configuraciones con autenticación basada en certificados, iOS es compatible
con VPN On Demand, que establecerá una conexión automáticamente cuando
se acceda a los dominios predefinidos, ofreciendo una excelente experiencia de
conectividad VPN para los usuarios.
Esta es una funcionalidad de iOS que no requiere otra configuración del servidor.
La configuración de VPN On Demand se lleva a cabo a través de un perfil de
configuración o puede ser configurada manualmente en el dispositivo.
Las opciones de VPN On Demand son:
Siempre
Inicia una conexión de VPN para cualquier dirección que coincide con el dominio
especificado.
Nunca
No inicia una conexión de VPN para direcciones que coinciden con el dominio
especificado, pero si la VPN ya está activa, puede ser usada.
Establecer si es necesario
Inicia una conexión de VPN para direcciones que coinciden con el dominio
especificado sólo luego de que ha fallado una búsqueda DNS.
Configuración de VPN
• iOS se integra con varias de las actuales redes VPN con una configuración mínima
necesaria. La mejor manera de preparar la implementación es comprobar si iOS es
compatible con los protocolos VPN y los métodos de autenticación de tu compañía.
• Se recomienda que revises la ruta de autenticación en tu servidor de autenticación
para garantizar que los estándares compatibles con iOS estén habilitados en tu
implementación.
• Si piensas utilizar la autenticación basada en certificados, asegúrate de tener la
infraestructura de clave pública configurada para ser compatible con certificados
basados en dispositivos y usuarios, con el correspondiente proceso de distribución de
claves.
• Si deseas configurar los ajustes de proxy específicos para la URL, coloca un archivo PAC
en un servidor web que sea accesible con la configuración básica de VPN y asegúrate
que se encuentra alojado con el tipo application/x-ns-proxy-autoconfig MIME.
Configuración de proxy
Para todas las configuraciones también puedes especificar un proxy VPN. Para
configurar un proxy único para todas las conexiones, usa la configuración manual e
ingresa la dirección, el puerto y la autenticación, si es necesario. Para configurar el
dispositivo con un archivo de configuración de proxy automático que utiliza PAC o
WPAD, emplea el ajuste automático. Para PACS, especifica la URL del archivo PACS. Para
WPAD, el iPhone y el iPad consultarán DHCP y DNS para la configuración adecuada.
8

Escenario de implementación
El ejemplo muestra una implementación habitual con un servidor/concentrador de VPN y con un servidor de autenticación que
controla el acceso a los servicios de red empresariales.
1
2
3
4
5
6
Certificado o token
de autenticación
Internet pública
Firewall Firewall
3a 3b
El iPhone y el iPad solicitan acceso a los servicios de red.
Servidor de autenticación de VPN
Generación de token o autenticación de certificado
2
1 4
Servidor/concentrador de VPN
Servidor proxy
El servidor/concentrador de VPN recibe la solicitud y la transfiere al servidor de autenticación.
5
Servicio de
directorio
Red privada
En un entorno de token de dos factores, el servidor de autenticación administrará la generación de claves de token sincronizada con el servidor
de claves. Si se implementa un método de autenticación de certificados es necesario distribuir un certificado de identidad al iPhone antes de la
autenticación. Si se implementa un método de contraseñas el proceso de autenticación continúa con la validación del usuario.
Una vez que el usuario es autenticado, el servidor de autenticación valida las políticas del usuario y el grupo.
Luego de validar las políticas del usuario y del grupo, el servidor de VPN brinda acceso encapsulado y encriptado a los servicios de red.
Si se usa un servidor de proxy, el iPhone y el iPad se conectan a través del servidor de proxy para acceder a la información fuera del firewall.
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logo Apple, iPhone, iPad y Mac OS son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros países. Otros nombres de productos
y compañías mencionados aquí pueden ser marcas registradas de sus respectivas compañías. Las especificaciones de productos están sujetas a cambios sin previo aviso. Este material ese provisto
solo a título informativo; Apple no asume responsabilidad relacionada con su uso. Octubre de 2011 L419828B
9

Protocolos de seguridad inalámbrica
• WEP
• WPA Personal
• WPA Enterprise
• WPA2 Personal
• WPA2 Enterprise
Métodos de autenticación 802.1X
• EAP-TLS
• EAP-TTLS
• EAP-FAST
• EAP-SIM
• PEAPv0 (EAP-MS-CHAP v2)
• PEAPv1 (EAP-GTC)
• LEAP
Implementando iPhone e iPad
Wi-Fi
Apenas los sacas de la caja, el iPhone y el iPad se pueden conectar de forma segura a
redes Wi-Fi corporativas o invitadas, por lo que unirse a redes inalámbricas disponibles
es muy rápido y simple, tanto si estás en el campus o de viaje.
iOS es compatible con los protocolos habituales de redes inalámbricas, como WPA2
Enterprise, asegurando que las redes inalámbricas corporativas puedan ser configuradas
rápidamente y sean de acceso seguro. WPA2 Enterprise emplea encriptación AES de 128
bits, un método comprobado y basado en bloques que proporciona a los usuarios el
mayor nivel de seguridad para sus datos.
Con soporte para 802.1X, iOS puede ser integrado a una amplia gama de entornos de
autenticación RADIUS. Los métodos de autenticación inalámbrica 802.1X compatibles con
el iPhone y el iPad son EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0, PEAPv1 y LEAP.
Es posible acceder rápidamente a las redes Wi-Fi que requieren credenciales de
acceso u otra información, sin necesidad de abrir una sesión del navegador, desde la
configuración de Wi-Fi o en aplicaciones tales como Mail. Además, con la conectividad
Wi-Fi persistente y de bajo consumo de energía, las aplicaciones pueden emplear redes
Wi-Fi para distribuir notificaciones push.
Para una rápida instalación e implementación, los ajustes de red inalámbrica, seguridad,
proxy y autenticación pueden ser configurados a través de Perfiles de Configuración.
Configuración de WPA2 Enterprise
• Verifica la compatibilidad de los dispositivos de red y selecciona un tipo de autenticación
(tipo EAP) compatible con iOS.
• Verifica que 802.1X esté habilitado en el servidor de autenticación y, si es necesario, instala
un certificado de servidor y asigna permisos de acceso a la red para usuarios y grupos.
• Configura puntos de acceso inalámbrico para la autenticación de 802.1X e ingresa la
información correspondiente del servidor RADIUS.
• Si planeas usar la autenticación basada en certificados, configura tu infraestructura
de claves públicas para emplear certificados basados en dispositivos y usuarios con el
correspondiente proceso de distribución de claves.
• Verifica el formato de los certificados y la compatibilidad del servidor de autenticación. iOS
es compatible con PKCS#1 (.cer, .crt, .der) y PKCS#12.
• Para ver más documentación sobre los estándares de redes inalámbricas y el Acceso
Protegido Wi-Fi (WPA), visita www.wi-fi.org.

Escenario de implementación de WPA2 Enterprise/802.1X
Este ejemplo muestra una implementación habitual de red inalámbrica segura con autenticación basada en RADIUS.
1
2
3
4
Certificado o
contraseña basado en
Tipo EAP
1
Servidor de autenticación con
soporte para 802.1x (RADIUS)
Punto de acceso
inalámbrico
con soporte para 802.1x
El iPhone y el iPad solicitan acceso a la red. El iPhone inicia la conexión en respuesta a un usuario que selecciona una red
inalámbrica disponible, o inicia automáticamente una conexión luego de detectar una red configurada previamente.
Una vez que el punto de acceso recibe la solicitud, la misma es enviada al servidor RADIUS para su autenticación.
El servidor RADIUS valida la cuenta del usuario mediante el servicio de directorio.
2
Servicios de directorio
Servicios de red
Una vez que el usuario es autenticado, el punto de acceso brinda acceso a red con las políticas y permisos establecidos por el
servidor RADIUS.
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logo Apple, iPhone, iPad y Mac OS son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros países. Otros nombres de productos y
compañías mencionados aquí pueden ser marcas registradas de sus respectivas compañías. Las especificaciones de productos están sujetas a cambios sin previo aviso. Este material ese provisto solo a título
informativo; Apple no asume responsabilidad relacionada con su uso. Octubre de 2011 L419830B
Firewall
3
4
11

Formato de certificados e identidades
compatibles:
• iOS es compatible con certificados X.509
con claves RSA.
• Se reconocen las extensiones de archivos
.cer, .crt, .der, .p12 y .pfx
Certificados raíz
Apenas lo sacas de la caja, iOS incluye una
serie de certificados raíz preinstalados.
Para ver una lista de las raíces de sistema
preinstaladas, consulta el artículo de
Soporte de Apple en http://support.
apple.com/kb/HT4415. Si estás usando un
certificado raíz que no está preinstalado,
tal como un certificado raíz autofirmado
creado por tu empresa, puedes distribuirlo
usando uno de los métodos enumerados
en la sección “Distribución e instalación de
certificados”, de este documento.
Implementando iPhone e iPad
Certificados digitales
iOS es compatible con los certificados digitales, para que los usuarios tengan acceso
seguro y ágil a los servicios corporativos. Un certificado digital se compone de una
clave pública, la información sobre el usuario y la autoridad de certificación que emitió
el certificado. Los certificados digitales son una forma de identificación que permite la
autenticación ágil, la integridad de datos y la encriptación.
En el iPhone y el iPad, los certificados pueden ser usados de diversas maneras. La firma
de datos con un certificado digital ayuda a garantizar que la información no pueda ser
alterada. Los certificados también pueden ser usados para garantizar la identidad del
autor o “firmante”. Además, se utilizan para encriptar los perfiles de configuración y las
comunicaciones de red, protegiendo aún más la información confidencial o privada.
Uso de certificados en iOS
Certificados digitales
Los certificados digitales pueden ser usados para autenticar usuarios de forma segura
en los servicios corporativos sin necesidad de nombres de usuario, contraseñas o tokens.
En iOS, la autenticación basada en certificados es compatible con el acceso a Microsoft
Exchange ActiveSync, VPN y redes Wi-Fi.
Autoridad de
certificación
Solicitud de autenticación
Servicios corporativos Intranet,
e-mail, VPN, Wi-F
Servicio de directorio
Certificados de servidores
Los certificados digitales también pueden ser usados para validar y encriptar las
comunicaciones de red. Esto permite una comunicación segura con los sitios web
internos y externos. El navegador Safari puede comprobar la validez de un certificado
digital X.509 y establecer una sesión segura con encriptación AES de 256 bits. Esto
verifica que la identidad del sitio es legítima y que la comunicación con el sitio web está
protegida para evitar la interceptación de datos personales o confidenciales.
Solicitud HTTPS Servicios de red
Autoridad de certificación

Distribución e instalación de certificados
Distribuir certificados para iPhone e iPad es muy simple. Cuando se recibe un certificado,
los usuarios sólo deben tocar para revisar el contenido y volver a tocar para añadir el
certificado a su dispositivo. Cuando se instala un certificado de identidad, los usuarios
deben ingresar la contraseña que lo protege. Si la autenticidad de un certificado
no puede ser verificada, los usuarios verán una advertencia antes de añadirlo a su
dispositivo.
Instalación de certificados mediante perfiles de configuración
Si se usan perfiles de configuración para distribuir configuraciones de servicios
corporativos, tales como Exchange, VPN o Wi-Fi, se pueden añadir certificados al perfil
para simplificar la implementación.
Instalación de certificados mediante Mail o Safari
Si se envía un certificado por correo electrónico, aparecerá como un archivo adjunto. Es
posible usar Safari para descargar certificados desde una página web. Puedes alojar un
certificado en un sitio web seguro y brindar a los usuarios una URL donde descargar el
certificado en sus dispositivos.
Instalación mediante SCEP (Simple Certificate Enrollment Protocol)
SCEP está diseñado para brindar un proceso simplificado que permita manejar la
distribución de certificados para implementaciones a gran escala. Esto permite el registro
a través del aire de certificados digitales en el iPhone y el iPad, que pueden ser usados
para la autenticación de servicios corporativos, así como para el registro con un servidor
de administración de dispositivos móviles.
Para más información sobre SCEP y Over-the-Air Enrollment, visita www.apple.com/mx/
iphone/business/resources (México) o www.apple.com/la/iphone/business/resources
(resto de América Latina).
Eliminación y revocación de certificados
Para eliminar manualmente un certificado que ha sido instalado, selecciona Ajustes >
General > Perfiles. Si eliminas un certificado requerido para el acceso a una cuenta o red,
el dispositivo ya no podrá conectarse a esos servicios.
Para eliminar certificados a través del aire, se puede usar un servidor de administración
de dispositivos móviles. Este servidor puede ver todos los certificados en un dispositivo y
eliminar los instalados.
Además, el protocolo OCSP (Online Certificate Status Protocol) permite comprobar el
estado de los certificados. Cuando se utiliza un certificado compatible con OCSP, iOS lo
valida para garantizar que no ha sido revocado antes de completar la tarea solicitada.
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logo Apple, iPhone, iPad y Mac OS son marcas comerciales de Apple
Inc., registradas en los EE.UU. y en otros países. Otros nombres de productos y compañías mencionados aquí pueden ser marcas
registradas de sus respectivas compañías. Las especificaciones de productos están sujetas a cambios sin previo aviso. Este material
ese provisto solo a título informativo; Apple no asume responsabilidad relacionada con su uso. Octubre de 2011 L419821B
13

Seguridad del dispositivo
• Contraseñas fuertes
• Expiración de la contraseña
• Historial de reutilización de la contraseña
• Máximo de intentos fallidos
• Ejecución inalámbrica de contraseñas
• Interrupción progresiva de la contraseña
Implementando iPhone e iPad
Descripción de seguridad
iOS, el sistema operativo del iPhone y el iPad, está basado en capas de seguridad.
A través de él, el iPhone y el iPad pueden acceder de forma segura a los servicios
corporativos y proteger datos importantes. iOS ofrece encriptación sólida para los datos
en transmisión, métodos comprobados de autenticación para acceso a los servicios
corporativos, y encriptación de hardware para todos los datos en reposo. iOS también
brinda protección segura a través del uso de políticas de contraseña que pueden ser
distribuidas y ejecutadas a través del aire. Además, si el dispositivo cae en las manos
equivocadas, los usuarios y administradores de TI pueden iniciar un comando de borrado
remoto para eliminar la información privada.
Al considerar la seguridad de iOS para uso empresarial, es útil conocer lo siguiente:
• Seguridad del dispositivo: métodos que previenen el uso no autorizado del dispositivo
• Seguridad de datos: protección de los datos en reposo, incluso si el dispositivo está roto o perdido
• Seguridad de la red: protocolos de red y encriptación de datos en transmisión
• Seguridad de apps: base segura para plataformas en iOS
Estas capacidades trabajan en conjunto para brindar una plataforma segura de
informática móvil.
Seguridad del dispositivo
El establecimiento de políticas sólidas para acceder al iPhone y al iPad es fundamental
para proteger la información corporativa. Las contraseñas de dispositivos son la primera
línea de defensa contra el acceso no autorizado, y pueden ser configuradas y aplicadas de
forma inalámbrica. Los dispositivos iOS usan la contraseña establecida por cada usuario
para generar una clave de encriptación fuerte que protege aún más el correo y los datos
sensibles de las aplicaciones en el dispositivo. Además, iOS brinda métodos seguros para
configurar el dispositivo en un entorno empresarial con ajustes, políticas y restricciones
específicas. Estos métodos ofrecen opciones flexibles para el establecimiento de un nivel
estándar de protección para usuarios autorizados.
Políticas de contraseñas
Una contraseña en el dispositivo evita que los usuarios no autorizados accedan a los datos
u obtengan acceso a ese dispositivo. iOS te permite seleccionar entre un amplio conjunto
de requisitos de contraseñas para atender tus necesidades de seguridad, como períodos de
tiempo de espera, fuerza de la contraseña y frecuencia de modificación de la contraseña.
Son compatibles las siguientes políticas de contraseñas:
• Solicitud de contraseña
• Permiso de valor simple
• Solicitud de valor alfanumérico
• Extensión mínima de contraseña
• Número mínimo de caracteres complejos
• Período máximo de contraseña
• Bloqueo automático
• Historial de contraseñas
• Período de gracia para bloqueo del dispositivo
• Número máximo de intentos fallidos

Políticas y restricciones configurables
compatibles:
Funcionalidad de dispositivos
• Instalación de apps
• Uso de la cámara
• Uso de FaceTime
• Captura de pantalla
• Sincronización automática durante la itinerancia
• Uso del marcado por voz
• Compras dentro de apps
• Solicitud de la contraseña de la tienda para
todas las compras
• Juegos multijugadores
• Agregado de amigos a Game Center
Aplicaciones
• Uso de YouTube
• Uso de iTunes Store
• Uso de Safari
• Configuración de las preferencias de seguridad
de Safari
iCloud
• Copias de seguridad
• Sincronización de documentos y sincronización
de valores clave
• Uso de Fotos en streaming
Seguridad y privacidad
• Envío de datos de diagnóstico a Apple
• Aceptación de certificados no confiables por
parte del usuario
• Ejecución de copias de seguridad encriptadas
Calificaciones de contenido
• Habilitación de música y podcasts explícitos
• Definición de regiones de calificaciones
• Definición de calificaciones de contenidos
permitidos
Ejecución de políticas
Las políticas descritas pueden aplicarse al iPhone y al iPad de diversas maneras. Las
políticas pueden ser distribuidas como parte de un perfil de configuración a instalar.
Un perfil puede ser definido para que sólo sea posible borrarlo con una contraseña de
administrador, o bloqueado en el dispositivo sin que pueda eliminarse sin borrar por
completo todos los contenidos del dispositivo. Además, los ajustes de contraseñas pueden
ser configurados de forma remota usando soluciones de administración de dispositivos
móviles que pueden aplicar las políticas directamente al dispositivo. Esto permite que las
políticas sean aplicadas y actualizadas sin interacción por parte del usuario.
Alternativamente, si el dispositivo está configurado para acceder a una cuenta de
Microsoft Exchange, las políticas de Exchange ActiveSync son aplicadas de forma
inalámbrica en el dispositivo. Ten en cuenta que el conjunto disponible de políticas
puede variar dependiendo de la versión de Exchange (2003, 2007 ó 2010). Consulta la
guía de Exchange ActiveSync y dispositivos iOS para ver un detalle de las políticas para
tu configuración específica.
Configuración segura de dispositivos
Los perfiles de configuración son archivos XML que contienen políticas de seguridad y
restricciones, información de configuración de la VPN, ajustes de Wi-Fi, cuentas de correo
y calendario, y credenciales de autenticación para que el iPhone y el iPad funcionen
con los sistemas de tu empresa. La capacidad de establecer políticas de contraseñas,
junto con los ajustes del dispositivo en un perfil de configuración, asegura que los
dispositivos dentro de tu empresa estén configurados correctamente y de acuerdo con
las normas de seguridad establecidas por tu organización. Además, ya que los perfiles
de configuración pueden ser encriptados y bloqueados, los ajustes no pueden ser
removidos, alterados o compartidos con otros.
Los perfiles de configuración pueden ser firmados y encriptados. La firma de un perfil
de configuración asegura que los ajustes no pueden ser alterados. La encriptación de un
perfil de configuración protege los contenidos del perfil y sólo lo instala en el dispositivo
para el cual fue creado. Los perfiles de configuración son encriptados usando CMS
(Cryptographic Message Syntax, RFC 3852), compatible con 3DES y AES 128.
La primera vez que distribuyes un perfil de configuración encriptado, lo instalas a través
de sincronización por USB usando la herramienta de utilidad de configuración o de forma
inalámbrica a través de Over-the-Air Enrollment. Además de estos métodos, la distribución
posterior de perfiles de configuración encriptados puede ser realizada como adjuntos de
correo electrónico, alojados en un sitio web accesible para los usuarios, o empujados al
dispositivo a través de soluciones de administración de dispositivos móviles.
Restricciones para dispositivos
Las restricciones para dispositivos determinan las funcionalidades a las que los usuarios
pueden acceder en el dispositivo. Por lo general, implican aplicaciones basadas en la
red, como Safari, YouTube o el iTunes Store, pero las restricciones también pueden
controlar funcionalidades como la instalación de aplicaciones o el uso de la cámara.
Las restricciones para dispositivos te permiten configurar el dispositivo según tus
necesidades, mientras permiten a los usuarios usar el dispositivo de manera consistente
con las prácticas de tu negocio. Las restricciones pueden ser configuradas manualmente
en cada dispositivo, aplicadas con un perfil de configuración o establecidas de
forma remota con soluciones de administración de dispositivos móviles. Además, las
restricciones para la cámara y la navegación web pueden aplicarse de forma inalámbrica
a través de Microsoft Exchange Server 2007 y 2010.
Además de establecer restricciones y políticas en el dispositivo, la aplicación iTunes
puede ser configurada y controlada por el área de TI. Esto incluye deshabilitar el acceso
al contenido explícito, definir qué usuarios de servicios de red pueden acceder dentro de
iTunes, y si hay nuevas actualizaciones de software para instalar. Para más información,
consulta Implementar iTunes en dispositivos iOS.
15

Seguridad de los datos
• Encriptación de hardware
• Protección de datos
• Borrado remoto
• Borrado local
• Perfiles de configuración encriptados
• Copias de seguridad de iTunes encriptadas
Intervalo progresivo de contraseña
El iPhone y el iPad pueden ser configurados
para iniciar automáticamente un borrado
después de varios intentos fallidos de ingreso
de la contraseña. Si un usuario ingresa varias
veces la contraseña incorrecta, iOS se inhabilitará
por intervalos cada vez más largos. Luego
de muchos intentos fallidos, se borrarán todos
los datos y ajustes del dispositivo.
Seguridad de los datos
Proteger los datos almacenados en el iPhone y el iPad es importante para cualquier
entorno con un alto nivel de información confidencial corporativa o del cliente. Además
de encriptar datos en la transmisión, el iPhone y el iPad permiten la encriptación de
hardware para los datos almacenados en el dispositivo, y la encriptación adicional de
datos de correos y aplicaciones con una mejor protección de datos.
Si un dispositivo se pierde o es robado es importante desactivar y borrar el dispositivo.
También, es una buena idea tener una política que borre el dispositivo después de un
número definido de intentos fallidos de ingreso de la contraseña, un impedimento
clave contra los intentos de obtener acceso no autorizado al dispositivo.
Encriptación
El iPhone y el iPad ofrecen encriptación basada en el hardware. La encriptación
de hardware usa codificación AES de 256 bits para proteger todos los datos en el
dispositivo. La encriptación está siempre activa y no puede ser deshabilitada por los
usuarios.
Además, es posible encriptar los datos de las copias de seguridad de iTunes en la
computadora de un usuario. Esto puede ser activado por el usuario o ejecutado
mediante los ajustes de las restricciones del dispositivo en los perfiles de configuración.
iOS es compatible con S/MIME en el correo, lo que permite al iPhone y al iPad ver y
enviar mensajes de correo electrónico encriptados. Las restricciones también pueden
ser usadas para evitar que los mensajes de correo sean movidos entre cuentas o los
mensajes recibidos en una cuenta sean reenviados desde otra.
Protección de datos
Gracias a las capacidades de encriptación de hardware del iPhone y el iPad, los
mensajes y adjuntos de correo electrónico almacenados en el dispositivo pueden ser
protegidos con las funcionalidades de protección de datos de iOS. La protección de
datos usa la contraseña de dispositivo de cada usuario, junto con la encriptación de
hardware en el iPhone y el iPad, para generar una sólida clave de encriptación. Esta
clave evita el acceso a los datos cuando el dispositivo está bloqueado, garantizando
que la información crítica esté protegida incluso si el dispositivo se ve comprometido.
Para activar la funcionalidad de protección de datos, sólo tienes que establecer
una contraseña en el dispositivo. La efectividad de la protección de datos depende
de una contraseña fuerte, por lo que es importante exigir e implementar una
contraseña mayor a cuatro dígitos a la hora de establecer sus políticas de contraseña
corporativas. Los usuarios pueden verificar que la protección de datos esté habilitada
en tu dispositivo mirando la pantalla de ajustes de la contraseña. Las soluciones de
administración de dispositivos móviles también pueden consultar el dispositivo para
obtener esta información. Estas API de protección de datos también están disponibles
para desarrolladores, y pueden ser usadas para proteger los datos de aplicaciones
internas o comerciales en la empresa.
Borrado remoto
iOS permite el borrado remoto. Si un dispositivo se pierde o es robado, el
administrador o dueño del dispositivo puede iniciar un comando de borrado remoto
que elimina todos los datos y desactiva el dispositivo. Si el dispositivo está configurado
con una cuenta de Exchange, el administrador puede iniciar un comando de borrado
remoto con la consola de administración de Exchange (Exchange Server 2007) o la
herramienta web de administración móvil de Exchange ActiveSync (Exchange Server
2003 ó 2007). Los usuarios de Exchange Server 2007 también pueden iniciar comandos
de borrado remoto directamente a través de Outlook Web Access. Los comandos de
borrado remoto también pueden ser iniciados por las soluciones de administración de
dispositivos móviles, incluso si los servicios corporativos de Exchange no están en uso.
16

Seguridad de red
• Cisco IPSec, L2TP, PPTP VPN integrados
• VPN SSL vía apps del App Store
• SSL/TLS con certificados X.509
• WPA/WPA2 Enterprise con autenticación
802.1x basada en certificados
• RSA SecurID, CRYPTOCard
Protocolos de VPN
• Cisco IPSec
• L2TP/IPSec
• PPTP
• VPN SSL
Métodos de autenticación
• Contraseña (MSCHAPv2)
• RSA SecurID
• CRYPTOCard
• Certificados digitales x.509
• Secreto compartido
Protocolos de autenticación 802.1x
• EAP-TLS
• EAP-TTLS
• EAP-FAST
• EAP-SIM
• PEAP v0, v1
• LEAP
Formatos de certificados compatibles
iOS es compatible con los certificados X.509
con claves RSA. Se reconocen las extensiones
de archivos .cer, .crt y .der.
Borrado local
Los dispositivos también pueden ser configurados para iniciar automáticamente un
borrado local después de varios intentos fallidos de ingreso de la contraseña. Esto protege
contra los intentos forzados de obtener acceso al dispositivo. Cuando se establece una
contraseña, los usuarios pueden habilitar el borrado local directamente desde los ajustes.
Por defecto, iOS borrará automáticamente el dispositivo luego de 10 intentos fallidos.
Al igual que con otras políticas de contraseña, el número máximo de intentos fallidos
es establecido a través de un perfil de configuración, un servidor de administración
de dispositivos móviles o, de forma inalámbrica, con políticas de Microsoft Exchange
ActiveSync.
iCloud
iCloud almacena música, fotos, apps, calendarios, documentos y mucho más, y los actualiza
automáticamente en todos los dispositivos del usuario. iCloud también hace copias de
seguridad de la información, como ajustes del dispositivo, datos de apps, y mensajes
de texto y MMS, todos los días a través de Wi-Fi. iCloud protege tu contenido, ya que lo
encripta cuando se envía por Internet, lo almacena en un formato cifrado y usa tokens de
seguridad para la autenticación. Además, las funcionalidades de iCloud, como Fotos en
streaming, sincronización de documentos y copias de seguridad, pueden ser deshabilitadas
mediante un perfil de configuración. Para más información sobre la seguridad y privacidad
de iCloud, visita http://support.apple.com/kb/HT4865?viewlocale=es_ES.
Seguridad de red
Los usuarios móviles deben poder acceder a las redes de información corporativa desde
cualquier lugar del mundo. Sin embargo, es importante garantizar que los usuarios
estén autorizados y que sus datos estén protegidos durante la transmisión. iOS ofrece
tecnologías comprobadas para lograr estos objetivos de seguridad, tanto para conexiones
Wi-Fi como de redes celulares.
Además de la infraestructura existente, cada sesión de FaceTime y la conversación
de iMessage es encriptada de punta a punta. iOS crea un ID único para cada usuario,
asegurando que las comunicaciones estén encriptadas, dirigidas y conectadas
correctamente.
VPN
Muchos entornos empresariales tienen algún tipo de red privada virtual (VPN) establecida.
Estos servicios de redes seguras ya están implementados y, por lo general, requieren una
configuración mínima para funcionar con el iPhone y el iPad.
Apenas lo sacas de la caja, iOS se integra con una amplia gama de tecnologías VPN usadas
habitualmente a través del soporte de Cisco IPSec, L2TP y PPTP. iOS es compatible con
SSL VPN a través de aplicaciones de Juniper, Cisco y F5 Networks. El soporte para esos
protocolos garantiza el más alto nivel de encriptación basada en IP para la transmisión
de información sensible. Además de permitir el acceso seguro a los entornos de VPN,
iOS ofrece métodos comprobados para la autenticación del usuario. Con la autenticación
a través de certificados digitales x.509 estándar, los usuarios pueden acceder mejor a
los recursos de la compañía y es una alternativa viable al uso de tokens basados en el
hardware. Además, con la autenticación de certificados, iOS puede usar VPN On Demand,
para que el proceso de autenticación de VPN sea transparente, mientras brinda fuertes
credenciales de acceso a los servicios de red. Para entornos empresariales que requieren
un token de dos factores, iOS se integra con RSA SecurID y CRYPTOCard.
iOS es compatible con la configuración proxy de red, así como con la división de tunneling
IP, para que el tráfico a los dominios de redes públicas o privadas sea transmitido de
acuerdo con las políticas específicas de tu compañía.
17

Seguridad de las apps
• Protección del tiempo de ejecución
• Firma obligatoria del código
• Servicios de llavero
• API de CommonCrypto
• Protección de datos de aplicaciones
SSL/TLS
iOS es compatible con SSL v3, así como con Transport Layer Security (TLS v1.0, 1.1 y 1.2), el
estándar de seguridad de última generación para Internet. Safari, Calendario, Mail y otras
aplicaciones de Internet inician automáticamente estos mecanismos para habilitar un
canal de comunicación encriptado entre iOS y los servicios corporativos.
WPA/WPA2
iOS es compatible con WPA2 Enterprise para brindar acceso autenticado a la red
inalámbrica de tu empresa. WPA2 Enterprise emplea encriptación AES de 128 bits, para
que los usuarios puedan obtener el mayor nivel de seguridad respecto que sus datos
permanecerán protegidos a la hora de enviar y recibir comunicaciones a través de una
conexión de red Wi-Fi. Además, con el soporte para 802.1x, el iPhone y el iPad pueden ser
integrados en una amplia gama de entornos de autenticación RADIUS.
Seguridad de las apps
iOS es diseñado con la seguridad en su núcleo. Incluye un método “aislado” para la protección
del tiempo de ejecución de las aplicaciones y requiere la firma de la aplicación para garantizar
que las aplicaciones no pueden ser alteradas. iOS también tiene una estructura segura que
facilita el almacenamiento seguro de credenciales de servicios de red y aplicaciones en un
llavero encriptado. Para los desarrolladores, ofrece una arquitectura común de encriptación
que puede ser usada para encriptar los datos de aplicaciones almacenados.
Protección del tiempo de ejecución
Las aplicaciones en el dispositivo están “aisladas”, para que no puedan acceder a datos
almacenados por otras aplicaciones. Además, los archivos del sistema, los recursos y el
núcleo están protegidos desde el espacio de la aplicación del usuario. Si una aplicación
necesita acceder a los datos de otra aplicación, sólo puede hacerlo a través de las API y los
servicios provistos por iOS. También se evita la generación de código.
Firma obligatoria del código
Todas las aplicaciones de iOS deben estar firmadas. Las aplicaciones provistas con el
dispositivo están firmadas por Apple. Las aplicaciones de terceros están firmadas por el
desarrollador mediante un certificado emitido por Apple. Esto garantiza que las aplicaciones
no han sido manipuladas o alteradas. Además, se realizan controles del tiempo de ejecución
para garantizar que una aplicación sigue siendo confiable desde la última vez que se utilizó.
El uso de aplicaciones personalizadas o internas puede ser controlado con un perfil de
aprovisionamiento. Los usuarios deben tener el perfil de aprovisionamiento instalado
para ejecutar la aplicación. Los perfiles de aprovisionamiento pueden ser instalados o
revocados de forma inalámbrica usando soluciones de administración de dispositivos
móviles. Los administradores también pueden restringir el uso de una aplicación a
dispositivos específicos.
Esquema seguro de autenticación
iOS ofrece llaveros seguros y encriptados para almacenar las identidades digitales,
los nombres de usuario y las contraseñas. Los datos del llavero son divididos para
evitar el acceso a las credenciales almacenadas por aplicaciones de terceros desde
aplicaciones con una identidad diferente. Esto proporciona el mecanismo para proteger
las credenciales de autenticación en el iPhone y el iPad a través de una amplia gama de
aplicaciones y servicios dentro de la empresa.
Arquitectura Common Crypto
Los desarrolladores de aplicaciones tienen acceso a las API de encriptación, que pueden
usar para proteger aún más los datos de sus aplicaciones. Los datos pueden ser encriptados
métricamente empleando métodos comprobados, tales como AES, RC4 o 3DES. Además,
el iPhone y el iPad ofrecen aceleración de hardware para encriptación AES y hash SHA1,
maximizando el desempeño de las aplicaciones.
18

Protección de los datos de las aplicaciones
Las aplicaciones también pueden emplear la encriptación de hardware incluida en
el iPhone y el iPad para proteger aún más los datos sensibles de las aplicaciones.
Los desarrolladores pueden designar a archivos específicos para la protección
de datos, dando instrucciones al sistema para que el contenido del archivo sea
criptográficamente inaccesible para la aplicación y para cualquier intruso potencial
cuando se bloquea el dispositivo.
Apps administradas
Un servidor MDM puede administrar apps de terceros en el App Store, así como apps
internas de la empresa. La designación de una app como administrada permite que el
servidor especifique si la app y sus datos pueden ser eliminados del dispositivo por el
servidor MDM. Además, el servidor puede evitar que los datos de la app administrada
sean respaldados en iTunes e iCloud. Así, el área de TI puede administrar apps que
pueden contener información confidencial de la empresa con más control que con las
apps descargadas directamente por el usuario.
Para instalar una app administrada el servidor MDM envía un comando de
instalación al dispositivo. Las apps administradas requieren la aceptación del usuario
antes de ser instaladas.
Dispositivos revolucionarios y completamente seguros
El iPhone y el iPad ofrecen protección encriptada de los datos en tránsito, en reposo e
incluidos en las copias de seguridad de iCloud e iTunes. Si un usuario está accediendo
al correo electrónico corporativo, visitando un sitio web privado o autenticando su
ingreso a la red corporativa, iOS garantiza que únicamente los usuarios autorizados
puedan acceder a la información corporativa sensible. Además, con su soporte para
redes de nivel empresarial y métodos completos para prevenir la pérdida de datos,
puedes implementar los dispositivos iOS con la confianza de que estás implementando
la mejor protección de datos y seguridad para dispositivos móviles.
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logo de Apple logo, FaceTime, iPad, iPhone, iTunes y Safari son marcas
comerciales de Apple Inc., registradas en los EE.UU. y en otros países. iCloud e iTunes Store son marcas de servicio de Apple Inc.,
registradas en los EE.UU. y en otros países. App Store es marca de servicio de Apple Inc. Otros nombres de productos y compañías
mencionados aquí pueden ser marcas registradas de sus respectivas compañías. Las especificaciones de productos están sujetas a
cambios sin previo aviso. Octubre de 2011 L422500B
19

Implementando iPhone e iPad
Administración de dispositivos
móviles
iOS es compatible con la administración de dispositivos móviles, brindando a las
empresas la capacidad de administrar implementaciones a escala del iPhone y el iPad
en todas sus organizaciones. Estas capacidades MDM están basadas en las tecnologías
iOS existentes, como los perfiles de configuración, Over-the-Air Enrollment y el servicio
de notificación push de Apple, además pueden ser integradas con soluciones de
servidor internas o de terceros. Con esto, los departamentos de TI pueden registrar el
iPhone y el iPad de forma segura en un entorno empresarial, configurar y actualizar de
forma inalámbrica los ajustes, monitorear el cumplimiento de las políticas corporativas
e, incluso, borrar o bloquear de forma remota los dispositivos administrados.
Cómo administrar el iPhone y el iPad
La administración de dispositivos iOS se realiza a través de una conexión a un
servidor de administración de dispositivos móviles. Este servidor puede ser creado
internamente por TI o comprado a otro proveedor. El dispositivo se comunica con el
servidor para ver si hay tareas pendientes y responde con las acciones apropiadas.
Estas tareas pueden incluir la actualización de políticas, la provisión de la información
de dispositivos o redes solicitada, o la eliminación de ajustes y datos.
La mayoría de las funciones de administración son realizadas detrás de escena,
sin interacción del usuario. Por ejemplo, si un departamento de TI actualiza su
infraestructura de VPN, el servidor MDM puede configurar el iPhone y el iPad con la
nueva información de cuenta a través del aire. La próxima vez que la VPN es usada por
el empleado, la configuración adecuada ya estará instalada, por lo que el empleado no
necesita llamar a la mesa de ayuda o modificar manualmente los ajustes.
Servicio de notificación
push de Apple
Firewall
Servidor MDM de terceros

iOS and SCEP
iOS es compatible con el protocolo SCEP
(Simple Certificate Enrollment Protocol).
SCEP es un borrador de Internet, el IETF, y
está diseñado para proporcionar una forma
simplificada de manejar la distribución de
certificados para implementaciones a gran
escala. Esto permite el registro inalámbrico
de los certificados de identidad para iPhone
e iPad, que pueden ser usados para la
autenticación en los servicios corporativos.
MDM y el servicio de notificación push de Apple
Cuando un servidor MDM desea comunicarse con el iPhone o el iPad, se envía una
notificación silenciosa al dispositivo a través del servicio de notificación push de Apple,
solicitando que se conecte al servidor. El proceso de notificación del dispositivo no
envía ningún tipo de información confidencial o del servicio de notificación push
de Apple. La única tarea que realiza la notificación es despertar al dispositivo para
que se conecte al servidor MDM. Toda la información de configuración, ajustes y
consultas es enviada directamente desde el servidor al dispositivo iOS a través de
una conexión SSL/TLS encriptada entre el dispositivo y el servidor MDM. iOS maneja
todas las solicitudes y acciones de MDM en un segundo plano para limitar el impacto
en la experiencia del usuario, incluyendo la duración de la batería, el desempeño y la
confiabilidad.
Para que el servidor de notificaciones push reconozca los comandos del servidor MDM,
debe instalarse un primer certificado en el servidor. Este certificado debe ser solicitado
y descargado desde el Portal de Certificados Push de Apple. Una vez que el certificado
de notificación push de Apple es cargado en el servidor de MDM, los dispositivos
pueden comenzar a registrarse.
Configuración de la red de notificaciones push de Apple
Cuando los servidores MDM y los dispositivos IOS están detrás del cortafuegos,
son necesarias algunas configuraciones de red para que el servicio MDM funcione
correctamente. Para enviar notificaciones desde un servidor MDM al servicio de
notificaciones push de Apple, el puerto TCP 2195 debe estar abierto. Para llegar
al servicio de información, el puerto TCP 2196 también debe estar abierto. Para
dispositivos que se conectan al servicio push a través de Wi-Fi, el puerto TCP 5223
debe estar abierto.
El rango de direcciones IP para el servicio push está sujeto a cambios; la expectativa
es que un servidor MDM se conectará por nombre de host antes que por dirección IP.
El servicio push emplea un esquema de equilibrio de carga que genera una dirección
IP diferente para el mismo nombre de host. Este nombre es gateway.push.apple.
com (y gateway.sandbox.push.apple.com para el entorno de notificaciones push de
desarrollo). Además, todo el bloque 17.0.0.0/8 está asignado a Apple, por lo que las
reglas del cortafuegos pueden ser establecidas para especificar ese rango.
Para más información, consulta a tu proveedor de MDM o mira la Nota Técnica
para Desarrolladores TN2265 en la Biblioteca para Desarrolladores de iOS en
http://developer.apple.com/library/ ios/#technotes/tn2265/_index.html.
Registro
Una vez que se configuran el servidor MDM y la red, el primer paso en la
administración del iPhone o el iPad es registrarlos con un servidor MSM. Esto crea
una relación entre el dispositivo y el servidor, permitiendo que el dispositivo sea
administrado sin intervención del usuario.
Esto puede ser realizado conectando el iPhone o el iPad a una computadora a
través de USB, pero la mayoría de las soluciones cuentan con un perfil de registro
inalámbrico. Para comenzar este proceso, algunos proveedores de MDM usan una app,
y otros inician el registro dirigiendo a los usuarios a un portal web. Cada método tiene
sus ventajas, y ambos son usados para iniciar el proceso de Over-the-Air Enrollment a
través de Safari.
21

Descripción del proceso de registro
El proceso de Over-the-Air Enrollment involucra fases que están combinadas en
un flujo de trabajo automatizado, para brindar una manera segura de registrar
dispositivos dentro de la empresa. Estas fases son:
1. Autenticación de usuarios
La autenticación de usuario asegura que las solicitudes de registro entrantes
sean de usuarios autorizados y que la información del dispositivo del usuario sea
capturada antes de proceder al registro del certificado. Los administradores pueden
solicitar al usuario que inicie el proceso de registro a través de un portal web, correo
electrónico, mensaje SMS o, incluso, una app.
2. Registro de certificados
Una vez autenticado el usuario, iOS genera una solicitud de registro del certificado
usando el SCEP (Simple Certificate Enrollment Protocol). Esta solicitud de registro se
comunica directamente con la Autoridad de Certificación de la empresa, y habilita al
iPhone y al iPad para recibir el certificado de identidad en respuesta.
3. Configuración de dispositivos
Una vez que se instala un certificado de identidad el dispositivo puede recibir
información de configuración encriptada a través del aire. Esta información sólo
puede ser instalada en el dispositivo y contiene los ajustes necesarios para conectar
al servidor MDM.
Al final del proceso de registro, el usuario verá una pantalla de instalación que
describe los derechos de acceso al servidor MDM contenidos en el dispositivo.
Al aceptar la instalación del perfil el dispositivo del usuario es registrado
automáticamente, sin necesidad de interacción.
Una vez que el iPhone y el iPad están registrados como dispositivos administrados
pueden ser configurados dinámicamente con los ajustes, consultados en busca de
información o eliminados de forma remota por el servidor MDM.
Configuración
Para configurar un dispositivo con cuentas, políticas y restricciones, el servidor
MDM envía archivos, conocidos como perfiles de configuración, al dispositivo, que
son instalados automáticamente. Los perfiles de configuración son archivos XML
que contienen ajustes, como información de cuenta, políticas de contraseñas,
restricciones y otros ajustes del dispositivo, para que el dispositivo funcione con tus
sistemas empresariales. Cuando se combina con el proceso de registro discutido
previamente, la configuración de dispositivos brinda al área de TI la garantía de que
solamente los usuarios de confianza tienen acceso a los servicios corporativos, y que
sus dispositivos están configurados correctamente con las políticas establecidas.
22

Además, ya que los perfiles de configuración pueden ser firmados y encriptados, los
ajustes no pueden ser alterados o compartidos con otros.
Ajustes configurables compatibles
Cuentas
• Exchange ActiveSync
• Correo IMAP/POP
• Wi-Fi
• VPN
• LDAP
• CardDAV
• CalDAV
• Calendarios aceptados
Políticas de contraseña
• Solicitud de contraseña en el dispositivo
• Permiso de valor simple
• Solicitud de valor alfanumérico
• Extensión mínima de contraseña
• Número mínimo de caracteres complejos
• Período máximo de contraseña
• Tiempo antes del bloqueo automático
• Historial de contraseña
• Período de gracia para bloqueo del
dispositivo
• Número máximo de intentos fallidos
Seguridad y privacidad
• Envío de datos de diagnóstico a Apple
• Aceptación de certificados no confiables
por parte del usuario
• Ejecución de copias de seguridad
encriptadas
Otros ajustes
• Credenciales
• Clips web
• Ajustes de SCEP
• Ajustes de APN
Funcionalidad de dispositivos
• Instalación de apps
• Uso de la cámara
• Uso de FaceTime
• Captura de pantalla
• Sincronización automática durante la
itinerancia
• Uso del marcado por voz
• Compras dentro de apps
• Solicitud de la contraseña de la tienda
para todas las compras
• Juegos multijugadores
• Agregado de amigos a Game Center
Aplicaciones
• Uso de YouTube
• Uso de iTunes Store
• Uso de Safari
• Configuración de preferencias de
seguridad de Safari
iCloud
• Copias de seguridad
• Sincronización de documentos y valores
claves
• Uso de Fotos en streaming
23
Calificaciones de contenido
• Habilitación de música y podcasts
explícitos
• Definición de regiones de calificaciones
• Definición de calificaciones de contenidos
permitidos

Consulta de dispositivos
Además de configurar los dispositivos, el servidor MDM tiene la capacidad de consultar
diversa información en los dispositivos. Esta información puede ser usada para que los
productos sigan cumpliendo con las políticas necesarias.
Consultas compatibles
Información del dispositivo
• Unique Device Identifier (UDID)
• Nombre del dispositivo
• iOS y versión de iOS
• Nombre y número del modelo
• Número de serie
• Capacidad y espacio disponible
• IMEI
• Firmware del módem
• Nivel de la batería
Información de red
• ICCID
• Direcciones de Bluetooth® y Wi-Fi MAC
• Red del operador actual
• Red del operador del abonado
• Versión de los ajustes del operador
• Número de teléfono
• Ajuste de itinerancia de datos (on/off)
Administración
Información de cumplimiento y
seguridad
• Perfiles de configuración instalados
• Certificados instalados con fecha de
expiración
• Lista de todas las restricciones
aplicadas
• Capacidad de encriptación de
hardware
• Presentación de contraseña
Aplicaciones
• Aplicaciones instaladas (ID, nombre,
versión, tamaño y tamaño de datos)
• Aprovisionamiento de perfiles
instalados con fechas de expiración
Con la Administración de Dispositivos Móviles, hay una serie de funciones de un
servidor MDM que se pueden realizar en los dispositivos iOS. Estas tareas incluyen la
instalación y la eliminación de los perfiles de configuración y aprovisionamiento, la
administración de apps, la finalización de la relación del MDM y el borrado remoto de
un dispositivo.
Ajustes administrados
Durante el proceso inicial de configuración de un dispositivo, el servidor MDM envía
perfiles de configuración al iPhone y el iPad, que son instalados en un segundo
plano. Con el tiempo, los ajustes y las políticas aplicadas en el momento del registro
pueden tener que ser actualizados o cambiados. Para realizar estos cambios, un
servidor MDM puede instalar nuevos perfiles de configuración, y modificar o eliminar
perfiles existentes en cualquier momento. Además, es posible tener que instalar las
configuraciones específicas del contexto en los dispositivos iOS, dependiendo de la
ubicación de un usuario o su rol en la organización. Por ejemplo, si un usuario está
viajando a otro país, el servidor MDM puede requerir que las cuentas de correo sean
sincronizadas manualmente, y no automáticamente. Incluso, el servidor MDM puede
deshabilitar de forma remota los servicios de voz y datos para evitar que un usuario
incurra en cargos por itinerancia de un proveedor de servicios inalámbricos.
Apps administradas
Un servidor MDM puede administrar apps de terceros en el App Store, así como apps
internas de la empresa. La designación de una app como administrada permite que
el servidor especifique si la app y sus datos pueden ser eliminados del dispositivo
por el servidor MDM. Además, el servidor MDM puede evitar que los datos de la app
administrada sean respaldados en iTunes e iCloud.
24

Para instalar una app administrada, el servidor MDM envia un comando de
instalación al dispositivo del usuario. Las apps administradas requieren la aceptación
del usuario previo a ser instaladas. Cuando un servidor MDM solicita la instalación
de una app administrada desde el App Store, la app será canjeada con la cuenta de
iTunes utilizada en el momento de instalar la app.
Eliminación o borrado de dispositivos
Si un dispositivo se encuentra fuera de política, se ha perdido o fue robado, o si un
empleado deja la empresa, un servidor MDM puede tomar medidas para proteger la
información corporativa de varias maneras.
Un administrador de TI puede terminar la relación de MDM con un dispositivo
mediante la eliminación del perfil de configuración que contiene la información del
servidor MDM. De ese modo, se quitan todas las cuentas, ajustes y apps que eran
responsables por la instalación. Alternativamente, el área de TI puede mantener el
perfil de configuración MDM en el lugar y usar MDM sólo para quitar los perfiles de
configuración, perfiles de aprovisionamiento y las apps administradas específicas
que desea eliminar. Este enfoque mantiene al dispositivo administrado por MDM y
elimina la necesidad de volver a registrarlo una vez que esté dentro de la política.
Ambos métodos brindan al área de TI la capacidad de asegurar que la información
únicamente esté disponible para los usuarios y dispositivos compatibles, y garantiza
que los datos corporativos sean quitados sin interferir con los datos personales del
usuario, tales como música, fotos o apps personales.
Para eliminar definitivamente todos los contenidos y datos en el dispositivo, y
restaurar los ajustes de fábrica, MDM puede borrar el iPhone y el iPad de forma
remota. Si un usuario sigue buscando el dispositivo el área de TI también puede
optar por enviar un comando de bloqueo remoto al dispositivo. Esto bloquea la
pantalla y solicita la contraseña del usuario para desbloquearlo.
Si un usuario ha olvidado la contraseña, el servidor MDM puede eliminarla desde el
dispositivo y pedir al usuario que cree una nueva en un plazo de 60 minutos.
Comandos de administración compatibles
Ajustes administrados
• Instalación de perfil de configuración
• Eliminación de perfil de configuración
• Itinerancia de datos
• Itinerancia de voz (no está disponible en todos los operadores)
Apps administradas
• Instalación de app administrada
• Eliminación de app administrada
• Mostrar todas las apps administradas
• Instalación de perfil de aprovisionamiento
• Eliminación de perfil de aprovisionamiento
Comandos de seguridad
• Borrado remoto
• Bloqueo remoto
• Limpiar contraseña
25

Descripción del proceso
Este ejemplo describe una implementación básica de un servidor de administración de dispositivos móviles.
1
2
3
4
5
1
2
3
Servidor de notificaciones
push de Apple
5
Firewall
4
Servidor MDM de terceros
Un perfil de configuración que contiene la información del servidor de administración de dispositivos móviles es enviado al
dispositivo. El usuario recibe la información sobre qué será administrado y/o consultado por el servidor.
El usuario instala el perfil a ser incluido en el dispositivo administrado.
El registro del dispositivo tiene lugar a medida que el perfil es instalado. El servidor valida el dispositivo y permite el acceso.
El servidor envía una notificación push que lleva al dispositivo a verificar tareas o consultas.
El dispositivo se conecta directamente al servidor sobre HTTPS. El servidor envía comandos o solicita información.
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logo de Apple, FaceTime, iPad, iPhone, iTunes y Safari son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros países. iCloud e iTunes
Store son marcas de servicio de Apple Inc., registradas en los EE.UU. y en otros países. App Store es una marca de servicio de Apple Inc. La palabra Bluetooth es una marca registrada de Bluetooth SIG, Inc., y
cualquier uso de tal marca por Apple está bajo licencia. UNIX es una marca registrada de The Open Group. Otros nombres de productos y compañías mencionados aquí pueden ser marcas registradas de sus
respectivas compañías. Las especificaciones de productos están sujetas a cambios sin previo aviso. Octubre de 2011 L422501B
26