ipad2 in business es
TRANSCRIPT
El iPad en la empresaEjemplosdeimplantacin Marzode2011
Descubre cmo el iPad se integra a la perfeccin en los entornos empresariales con estos ejemplos de implantacin. ExchangeActiveSyncdeMicrosoft Serviciosbasadosenestndares Redesprivadosvirtuales Wi-Fi Certificadosdigitales Seguridad MobileDeviceManagement ImplantacindeiTunes
2
El iPad en la empresa Exchange ActiveSync
EliPadsecomunicadirectamentecontuinstalacindeExchangeServerdeMicrosoft atravsdeExchangeActiveSync(EAS)deMicrosoft,paraofreceralusuariocorreo electrnico,contactosycalendariosdeactualizacinautomticapush.Exchange ActiveSynctambinpermitealusuarioaccederalalistaglobaldedirecciones(GAL) yofrecealadministradorfuncionesdeborradoremotoydeimposicindepolticas decontrasea.EliPadescompatibleconlaautenticacinbsicayporcertificado deExchangeActiveSync.SilaempresautilizaExchangeActiveSync,yadisponede losserviciosnecesariosparaintegrareliPad.Nohacefaltaningunaconfiguracin adicional.SidisponesdeExchangeServer2003,2007o2010,peronotienes experienciaconExchangeActiveSync,consultalossiguientespasos.Polticas de seguridad de Exchange ActiveSync compatibles Borradoremoto Imposicindecontraseaenterminal Longitudmnimadecontrasea Mximodeerroresencontrasea(antesdel borradolocal) Exigenciadenmerosyletras Tiempodeinactividadenminutos(de1a 60minutos) Polticas adicionales de Exchange ActiveSync (solo para Exchange 2007 y 2010) Autorizacinoprohibicindecontraseassimples Caducidaddecontraseas Historialdecontraseas Intervalosderenovacindepolticas Nmeromnimodecaracterescomplejosen contraseas Exigenciadesincronizacinmanualenitinerancia Autorizacindelusodecmara Autorizacindenavegacinweb
ConfiguracindeExchangeActiveSyncDescripcin de la configuracin de red Compruebaqueelpuerto443estabiertoenelcortafuegos.Situempresaadmite OutlookWebAccess,esmuyprobablequeyaloest. Enelservidorexterno(front-end),verificaquesehayainstaladouncertificadode servidoryquesehayaactivadolaseguridadSSLparaeldirectoriovirtualdeExchange ActiveSyncenIIS. SiusasunservidorInternetSecurityandAcceleration(ISA)deMicrosoft,comprueba quesehayainstaladouncertificadodeservidoryactualizaelDNSpblicopara resolvercorrectamentelasconexionesentrantes. CompruebaqueelDNSdetureddevuelvaunanicadireccindireccionable externamentealservidordeExchangeActiveSync,tantoparaclientesdelaintranet comodeInternet.Estoesnecesarioafindequeeldispositivopuedausarlamisma direccinIPparacomunicarseconelservidorcuandoambostiposdeconexinestn activos. SiusasunservidorISAdeMicrosoft,creaunagentedeescuchayunareglade publicacindeaccesodeclientedeExchangeWeb.EnladocumentacindeMicrosoft encontrarsmsinformacin. Paratodosloscortafuegosydispositivosdered,ajustaeltiempodedesconexinpor inactividada30minutos.Sideseasmsinformacinsobrelosintervalosdelatidoe inactividad,consultaladocumentacindeExchangedeMicrosoft,queseencuentraen http://technet.microsoft.com/en-us/library/cc182270.aspx(eningls). Configuralasprestacionesmviles,laspolticasylosajustesdeseguridadde dispositivosmedianteExchangeSystemManager.ParaExchangeServer2007y2010, estosehaceenlaconsolaExchangeManagementConsole.
3
DescargaeinstalalaherramientaMobileAdministrationWebTooldeExchange ActiveSyncdeMicrosoft,necesariaparainiciarunborradoremoto.EnExchangeServer 2007,elborradoremotosepuedeiniciardesdeOutlookWebAccessoconlaconsola ExchangeManagementConsole. Autenticacin bsica (usuario y contrasea) ActivaExchangeActiveSyncparausuariosygruposespecficosmedianteelservicio ActiveDirectory.SeactivanpordefectoparatodoslosdispositivosmvilesdelaorganizacinenExchangeServer2003,2007y2010.ParaExchangeServer2007y2010,consultaRecipientConfigurationenlaconsolaExchangeManagementConsole. Pordefecto,ExchangeActiveSyncestconfiguradoparalaautenticacinbsicade usuarios.SerecomiendaactivarlaseguridadSSLparalaautenticacinbsicaconelfin degarantizarquelascredencialessecifrendurantelaautenticacin. Autenticacin basada en certificados Instalalosserviciosdecertificadosempresarialesenunservidordelaredoenuncontroladordedominioentudominio(serelservidordelaautoridademisoradecertificados).Otros servicios de Exchange ActiveSync Consultadelalistaglobaldedirecciones Aceptacinycreacindeinvitacionesdecalendario SincronizacindelasetiquetasReplyyForward conExchangeServer2010 BsquedaencorreosconExchangeServer 2007y2010 Compatibilidadconmltiplescuentasde ExchangeActiveSync Autenticacinbasadaencertificados Actualizacinpushdecorreoselectrnicosen carpetas seleccionadas Autodescubrimiento
ConfiguraIISenelservidorexterno(front-end)deExchangeoenClientAccessServer paraqueaceptelaautenticacinbasadaencertificadosparaeldirectoriovirtualde ExchangeActiveSync. Siquieresautorizaroexigircertificadosparatodoslosusuarios,desmarcaBasic authenticationyseleccionaAcceptclientcertificatesoRequireclientcertificates. Generacertificadosdeclientemedianteelservidordelaautoridademisorade certificados.ExportalaclavepblicayconfiguraIISparaquelause.Exportalaclave privadayusaunPerfildeConfiguracinparaenviarlaaliPad.Laautenticacinbasada encertificadossolosepuedeconfigurarmedianteunPerfildeConfiguracin. Sideseasmsinformacinsobrelosserviciosdecertificados,consultalosrecursos disponiblesatravsdeMicrosoft.
4
EjemplodeimplantacindeExchangeActiveSyncEsteejemplomuestracmoseconectaeliPadaunainstalacinestndardeExchangeServer2003,2007o2010deMicrosoft.
Claveprivada (certificado) Cortafuegos Perfildeconfiguracin Cortafuegos
Servidordecertificados
443 3
ActiveDirectory
Clavepblica (certificado)
1 Internet Servidorproxy
2 ServidorFront-Endde ExchangeoClientAccess 4
6 Pasarela de correo o Servidordetransporte perimetral* Cabezadepuenteo Servidordetransportede concentradores
5 Buzndecorreode Exchangeoservidores internos
*Enfuncindelaconfiguracindered,lapasareladecorreoexternaoelservidordetransporteperimetralpuedenresidirdentrodelareddelpermetro(DMZ).
1
EliPadsolicitaaccesoalosserviciosdeExchangeActiveSyncatravsdelpuerto443(HTTPS).(Setratadelmismopuertousadopor OutlookWebAccessyotrosservicioswebseguros,asqueenmuchoscasosestepuertoyaestarabiertoyconfiguradoparapermitireltrficodeHTTPScifradoporSSL). ISAfacilitaelaccesoalservidorexterno(front-end)deExchangeoaldeClientAccess.ISAestconfiguradocomoproxy,oen muchoscasoscomoproxyinverso,paradirigireltrficoalservidordeExchange. ElservidordeExchangeautenticaalusuarioentrantemedianteelservicioActiveDirectoryyelservidordecertificados(siseusala autenticacinbasadaencertificados). SielusuarioaportalascredencialesapropiadasytieneaccesoalosserviciosdeExchangeActiveSync,elservidorexternoestablece unaconexinconelbuzndecorreooportunoenelservidorinterno(back-end)(atravsdelcatlogoglobaldeActiveDirectory). SeestablecelaconexinconExchangeActiveSync.LasactualizacionesocambiosseenvanaliPad,ycualquiercambiorealizadoen eliPadsereflejaasuvezenelservidordeExchange. LoscorreosenviadosdesdeeliPadtambinsesincronizanconelservidordeExchangeatravsdeExchangeActiveSync(paso5). Paradirigirelcorreoelectrnicosalientealosdestinatariosexternos,elcorreoseenvapornormageneralatravsdeunservidor decabezadepuente(otransportedeconcentradores)aunapasareladecorreoexterna(oservidordetransporteperimetral)a travsdeSMTP.Enfuncindelaconfiguracindered,lapasareladecorreoexternaoelservidordetransporteperimetralpueden residirdentrodelareddelpermetroofueradelcortafuegos.
2
3
4
5
6
2011AppleInc.Todoslosderechosreservados.Apple,ellogotipodeAppleyiPadsonmarcascomercialesdeAppleInc.,registradasenEE.UU.yenotrospases.Otrosnombresdeproductosyempresas mencionadosenelpresentedocumentopuedensermarcascomercialesdesusrespectivascompaas.Lasespecificacionesdelproductoestnsujetasacambiossinprevioaviso.Estedocumentoseproporcionaconfinesmeramenteinformativos;Applerenunciaacualquierresponsabilidadrelacionadaconsuuso.Marzode2011L422495B-ES
5
El iPad en la empresa Servicios basados en estndares
ComoeliPadescompatibleconelprotocolodecorreoIMAP,losserviciosde directoriosLDAPylosprotocolosdecalendariosCalDAVydecontactosCardDAV,se integraencasicualquierentornoestndardecorreo,calendariosycontactos.Siel entornoderedestconfiguradoparaexigirlaautenticacindeusuarioyemplearla seguridadSSL,eliPadofreceunmtodoseguroparaaccederalcorreo,loscalendarios yloscontactosdelaempresabasadosenestndares. Enunainstalacintpica,eliPadestableceaccesodirectoalosservidoresdecorreo IMAPySMTPpararecibiryenviarcorreoinalmbricamente,ytambinpuede sincronizarnotasconservidoresIMAPdeformainalmbrica.EliPadsepuedeconectar conlosdirectorioscorporativosLDAPv3delaempresa,otorgandoaccesoalos usuariosaloscontactoscorporativosenlasaplicacionesMail,ContactosySMS.Gracias alasincronizacinconelservidorCalDAV,losusuariosdeliPadpuedencrearyaceptar invitacionesacalendariosyrecibiractualizacionesdeestosdeformainalmbrica. Adems,graciasalacompatibilidadconCardDAV,losusuariospuedenmantener ungrupodecontactossincronizadoconelservidorCardDAVmedianteelformato vCard.TodoslosservidoresderedsepuedenubicarenunasubredDMZ,detrsdeun cortafuegoscorporativooenambos.SiseusaSSL,eliPadadmiteelcifradode128bits yloscertificadosrazX.509delasprincipalesentidadesemisorasdecertificados.Puertos habituales IMAP/SSL:993 SMTP/SSL:587 LDAP/SSL:636 CalDAV/SSL:8443,443 CardDAV/SSL:8843,443 Soluciones de correo con protocolos IMAP y POP EliPadadmitelassolucionesdecorreobasadas enlosprotocolosIMAP4yPOP3parauna ampliagamadeplataformasdeservidor,como Windows,UNIX,LinuxyMacOSX. Estndares CalDAV y CardDAV EliPadadmitelosprotocolosdecalendarios CalDAVydecontactosCardDAV.ElIETFha estandarizadoambosprotocolos.Elconsorcio CalConnectofrecemsinformacinenhttp:// caldav.calconnect.org/yhttp://carddav. calconnect.org/.
ConfiguracindelaredEladministradorderedesoTIdeberllevaracaboestospasosparaactivarelacceso deliPadalosserviciosIMAP,LDAP,CalDAVyCardDAV: Abrirlospuertoscorrespondientesenelcortafuegos.Lospuertoshabitualessonel993 paraelcorreoIMAP,el587paraelcorreoSMTP,el636paralosserviciosdedirectorio LDAP,el8443paraloscalendariosCalDAVyel8843paraloscontactosCardDAV. Adems,serecomiendaquelacomunicacinentreelservidorproxyylosservidores internosIMAP,LDAP,CalDAVyCardDAVseconfigurenconlaseguridadSSLactivada, yqueloscertificadosdigitalesdelosservidoresdelaredestnfirmadosporuna entidademisoradeconfianza,comoVeriSign.EstogarantizaqueeliPadreconozcaal servidorproxycomounaentidaddeconfianzaenlainfraestructuradelaempresa. ParaelcorreoSMTPsaliente,sedebeabrirelpuerto587,465o25parapermitir elenvodecorreoelectrnicodesdeeliPad,quecompruebaautomticamenteel estadodeesospuertosporeseorden.Elpuerto587eselmsfiableyseguro,yaque exigelaautenticacindelusuario.Elpuerto25norequiereautenticacin,yalgunos proveedoresdeserviciosdeInternetlobloqueanpordefectoparaevitarelcorreono deseado.
6
EjemplodeimplantacinEsteejemplomuestracmoseconectaeliPadaunainstalacinestndardeIMAP,LDAP,CalDAVyCardDAV.Cortafuegos Cortafuegos 3 Servidordedirectorios LDAP 4 ServidorCalDAV 1 Servidorproxyinverso Internet 8843 (CardDAV) 993(IMAP) 587(SMTP) 5 ServidorCalDAV 2
636 (LDAP) 8443 (CalDAV)
6 ServidordeMail
1 2
EliPadsolicitaaccesoalosserviciosderedatravsdelospuertosdesignados. Enfuncindelservicio,losusuariosdeliPaddebenautenticarseconelproxyinversoobiendirectamenteconelservidorpara obteneraccesoalosdatoscorporativos.Enamboscasos,lasconexionessonremitidasporelproxyinverso,quehacelasvecesde pasarelasegura,normalmentedetrsdelcortafuegos.Unavezautenticados,losusuariospuedenaccederasusdatoscorporativosenlosservidoresinternos. EliPadofreceserviciosdeconsultadedirectoriosLDAP,loquepermitealusuariobuscarcontactosyotrainformacin delaagendaenelservidorLDAP. EnelcasodeloscalendariosCalDAV,losusuariospuedenaccederaloscalendariosdesdeeliPadyactualizarlos. LoscontactosCardDAVsealmacenanenelservidorysepuedeaccederaellosdeformalocaldesdeeliPad.LoscambiosefectuadosenloscamposdeloscontactosCardDAVsesincronizanconelservidorCardDAV. EnelcasodelosserviciosdecorreoIMAP,losmensajesexistentesynuevossepuedenleerdesdeeliPadmedianteunaconexin proxyconelservidordecorreo.ElcorreosalientedeliPadseenvaalservidorSMTP,yseguardancopiasenlacarpetaEnviados del usuario.
3
4 5
6
2011AppleInc.Todoslosderechosreservados.Apple,ellogotipodeApple,iPadyMacOSsonmarcascomercialesdeAppleInc.,registradasenEE.UU.yenotrospases.UNIXesunamarcacomercial registradadeTheOpenGroup.Elrestodenombresdeproductosyempresasmencionadosenelpresentedocumentopuedensermarcascomercialesdesusrespectivostitulares.Lasespecificacionesdel productoestnsujetasacambiossinprevioaviso.Estedocumentoseproporcionaconfinesmeramenteinformativos;Applerenunciaacualquierresponsabilidadrelacionadaconsuuso.Marzode2011 L422496B-ES
7
El iPad en la empresa Redes privadas virtuales (VPN)
EliPadofreceaccesoseguroaredescorporativasprivadasmedianteprotocolosVPN estndarreconocidosporelsector.Losusuariossepuedenconectarfcilmentealos sistemasempresarialesmedianteelclientedeVPNintegradooatravsdeaplicaciones deterceros(Juniper,CiscoyF5Networks). EliPadescompatibledeserieconIPSecdeCisco,L2TPsobreIPSecyPPTP.Situ organizacinadmiteunodeestosprotocolos,nonecesitasningnotrotipode configuracinniaplicacionesdetercerosparaconectareliPadatuVPN. Adems,eliPadadmiteVPNconSSL,loquelepermiteaccederalosservidoresdeVPN conSSLdelaserieSAdeJuniper,ASAdeCiscoyFirePassdeF5Networks.Paraello, bastacondescargarenelAppStoreunaaplicacinclientedeVPNdesarrolladapor JuniperoCisco.AligualqueelrestodeprotocolosdeVPNdeliPad,elaccesoaredes VPNconSSLsepuedeconfigurarmanualmenteeneldispositivoomedianteunPerfil deConfiguracin. EliPadadmitetecnologasestndarcomoIPv6,servidoresproxyytnelesdivididos,por loqueofreceunaexcelenteexperienciadeVPNalconectarsearedesempresariales. Adems,escompatiblecondiversosmtodosdeautenticacin,comoelusode contraseas,tokensdedoblefactorycertificadosdigitales.Conelfindeoptimizarla conexinenentornosenlosqueseusalaautenticacinbasadaencertificados,eliPad incluyeVPNporpeticin,queiniciadinmicamenteunasesindeVPNalconectarsea determinados dominios.
ProtocolosymtodosdeautenticacinadmitidosVPN con SSL Escompatibleconlaautenticacindeusuarioporcontrasea,tokendedoblefactory certificados. IPSec de Cisco Escompatibleconlaautenticacindeusuarioporcontrasea,tokendedoblefactor, autenticacinpormquinamediantesecretocompartidoycertificados. L2TP sobre IPSec AdmitelaautenticacindelusuariomedianteMS-CHAPv2Password,tokendedoble factoryautenticacinpormquinamediantesecretocompartido. PPTP AdmitelaautenticacindelusuariomedianteMS-CHAPv2Passwordytokendedoble factor.
8
VPNporpeticinParalasconfiguracionesqueempleenlaautenticacinbasadaencertificados,el iPadofreceVPNporpeticin.VPNporpeticinpuedeestablecerunaconexin automticamentecuandoseaccedaadominiospredeterminados,loqueofrecealos usuariosdeliPadunaexperienciadeconexinaredesVPNimpecable. EstaprestacindeiOSnorequiereningunaconfiguracinadicionaldelservidor.La configuracindeVPNporpeticinserealizamedianteunPerfildeConfiguracino manualmenteeneldispositivo. LasopcionesdeVPNporpeticinson: Siempre IniciaunaconexinVPNparacualquierdireccinquecoincidaconeldominio especificado. Nunca NoiniciaunaconexinVPNparalasdireccionesquecoincidenconeldominio especificado,perosilaVPNyaestactiva,sepuedeusar. Establecer si es necesario IniciaunaconexinVPNparalasdireccionesquecoincidenconeldominio especificado,perosolocuandounaconsultadeDNShayafallado.
ConfiguracindeVPN EliPadseintegraenmuchasdelasredesVPNactualesconunamnimaconfiguracin. Lamejorformadeprepararestainstalacinconsisteencomprobarlacompatibilidad deliPadconlosprotocolosdeVPNylosmtodosdeautenticacinpresentesenla empresa. Serecomiendarevisarlarutadeautenticacinalservidordeautenticacinpara garantizarquelosestndaresadmitidosporeliPadestnactivadosenlainstalacinen cuestin. Sitieneslaintencindeusarunsistemadeautenticacinbasadoencertificados, compruebaquetuinfraestructuradeclavespblicasestconfiguradaparaadmitir certificadosdeusuarioydedispositivoconloscorrespondientesprocesosde distribucindeclaves. SiquieresconfigurarajustesdeproxyespecficosparaunaURL,colocaunarchivoPAC enunservidorwebaccesibleconlosajustesdeVPNbsicosyasegratedequeest alojadoconeltipodeMIMEapplication/x-ns-proxy-autoconfig.
ConfiguracindelproxyPuedesespecificarunproxydeVPNparatodaslasconfiguraciones.Paraconfigurarun nicoproxyparatodaslasconexiones,usaelajusteManualeintroduceladireccin, elpuertoylaautenticacin,siespreciso.Paraproporcionaraldispositivounarchivo deconfiguracinauto-proxyconPACoWPAD,usaelajusteAutomtico.ParaPACS, especificalaURLdelarchivoPACS.ParaWPAD,eliPadsolicitaraDHCPyDNSlos ajustes oportunos.
9
EjemplodeimplantacinEsteejemploilustraunaimplantacintpicaconunservidor/concentradordeVPN,ademsdeunservidordeautenticacinparael controldelaccesoalosserviciosdereddelaempresa.Firewall 3a Autenticacin Certificadootoken ServidordeautenticacindeVPN Generacin de token o distribucin de certificados Firewall 3b Serviciode directorio
2
1 Concentrador/servidordeVPN
4 Redprivada
Certificado,tokeno contrasea
5 Internetpblico Servidorproxy
1 2 3
EliPadsolicitaaccesoalosserviciosdered. Elservidor/concentradordeVPNrecibelasolicitudylapasaalservidordeautenticacin. Enunentornodetokendedoblefactor,elservidordeautenticacinadministralageneracindeunaclavedetokensincronizada temporalmenteconelservidordeclaves.Sisehaimplantadounmtododeautenticacinconcertificado,antesdelaautenticacindebeenviarsealiPaduncertificadodeidentidad.Sisehaimplantadounmtododecontrasea,elprocesodeautenticacin efectalavalidacindelusuario. Unavezautenticadoelusuario,elservidordeautenticacinvalidalaspolticasdeusuariosygrupos.Unavezvalidadaslaspolticas deusuariosygrupos,elservidordeVPNofreceaccesocifradoyportnelalosserviciosdered. Siseusaunservidorproxy,eliPadseconectaatravsdelservidorproxyparaaccederainformacinubicadafueradelcortafuegos.
4
5
SideseasmsinformacinsobreVPNeneliPad,visitawww.apple.com/es/ipad/business/integration.
2011AppleInc.Todoslosderechosreservados.Apple,ellogotipodeAppleyiPadsonmarcascomercialesdeAppleInc.,registradasenEE.UU.yenotrospases.AppStoreesunamarcadeserviciode AppleInc.Losdemsnombresdeproductosyempresasmencionadosaqusonmarcascomercialesdesusrespectivascompaas.Lasespecificacionesdelproductoestnsujetasacambiossinprevioaviso. Estedocumentoseproporcionaconfinesmeramenteinformativos;Applerenunciaacualquierresponsabilidadrelacionadaconsuuso.Marzode2011L422497B-ES
10
El iPad en la empresa Wi-Fi
Deserie,eliPadseconectadeformaseguraaredesWi-Ficorporativasodeinvitados, loquepermiteaccederaredesinalmbricasdisponiblesdeformarpidaysencilla,ya seestenlasinstalacionesdelaempresaodeviaje. EliPadadmiteprotocolosestndarderedesinalmbricas,incluidoWPA2Enterprise,lo quepermiteconfigurarredesinalmbricascorporativasrpidamenteyaccederaellas deformasegura.WPA2EnterpriseempleacifradoAESde128bits,unmtodobasado enbloquesampliamenteacreditadoquebrindaelmximoniveldeseguridadparalos datos del usuario. EliPad,compatiblecon802.1X,puedeintegrarseenunamplioabanicodeentornos deautenticacinRADIUS.Entrelosmtodosdeautenticacininalmbrica802.1Xque admiteeliPadseencuentranEAP-TLS,EAP-TTLS,EAP-FAST,EAP-SIM,PEAPv0,PEAPv1y LEAP. LosusuariospuedenconfigurareliPadparaqueaccedaautomticamentealasredes Wi-Fidisponibles.SepuedeaccederrpidamentealasredesWi-Fiquerequieran credenciales de inicio de sesin u otra informacin sin necesidad de abrir una sesin denavegadoraparte,desdelosajustesWi-FioconaplicacionescomoMail.Adems,la conectividadWi-FipersistentedebajoconsumopermitealasaplicacionesdeliPadusar lasredesWi-Fiparaenviarnotificacionespush. Paraacelerarlaconfiguracinylaimplantacin,losajustesderedesinalmbricas, seguridadyautenticacinsepuedenestablecermedianteperfilesdeconfiguracin.
Protocolos inalmbricos de seguridad WEP WPAPersonal WPAEnterprise WPA2Personal WPA2Enterprise Mtodos de autenticacin 802.1X EAP-TLS EAP-TTLS EAP-FAST EAP-SIM PEAPv0(EAP-MS-CHAPv2) PEAPv1(EAP-GTC) LEAP
ConfiguracindeWPA2Enterprise Compruebalacompatibilidaddelosdispositivosderedyseleccionauntipodeautenticacin(tipodeEAP)admitidoporeliPad. Compruebaqueelprotocolo802.1Xestactivadoenelservidordeautenticaciny,si espreciso,instalauncertificadodeservidoryasignalospermisosdeaccesoalared deusuariosygrupos. Configurapuntosdeaccesoinalmbricoparalaautenticacin802.1Xeintroducela informacindelcorrespondienteservidorRADIUS. Sitieneslaintencindeusarunsistemadeautenticacinbasadoencertificados, compruebaquelainfraestructuradeclavespblicasestconfiguradaparaadmitir certificadosdeusuarioydedispositivoconloscorrespondientesprocesosde distribucindeclaves. Compruebalacompatibilidaddelformatodelcertificadoydelservidorde autenticacin.EliPadadmitePKCS1(.cer,.crty.der)yPKCS12. SideseasdocumentacinadicionalsobreestndaresderedinalmbricayAcceso ProtegidoaWi-Fi(WPA),visitawww.wi-fi.org.
11
WPA2Enterprise/802.1XEjemplodeimplantacinEsteejemploilustraunaimplantacininalmbricaseguraestndarqueaprovechalaautenticacinRADIUS.Servidordeautenticacin Compatiblecon802.1X(RADIUS) Firewall 3 Serviciodedirectorio
2
1 Punto de acceso inalmbricocompatible con802.1X
4 Serviciosdered
Certificadoocontrasea basados entipodeEAP 1
EliPadsolicitaaccesoalared.EliPadinicialaconexincuandounusuarioseleccionaunaredinalmbricadisponible,olo haceautomticamentealdetectarunaredyaconfigurada. Despusdellegaralpuntodeacceso,lasolicitudesremitidaalservidorRADIUSparasuautenticacin. ElservidorRADIUSvalidalacuentadelusuarioempleandoelserviciodedirectorio. Cuandoelusuarioestautenticado,elpuntodeaccesoofreceaccesoalaredaplicandolaspolticasylospermisosindicadosporel servidorRADIUS.
2 3 4
2011AppleInc.Todoslosderechosreservados.Apple,ellogotipodeAppleyiPadsonmarcascomercialesdeAppleInc.,registradasenEE.UU.yenotrospases.Otrosnombresdeproductosyempresas mencionadosenelpresentedocumentopuedensermarcascomercialesdesusrespectivascompaas.Lasespecificacionesdelproductoestnsujetasacambiossinprevioaviso.Estedocumentoseproporcionaconfinesmeramenteinformativos;Applerenunciaacualquierresponsabilidadrelacionadaconsuuso.Marzode2011L422498B-ES
12
El iPad en la empresa Certificados digitales
EliPadadmitecertificadosdigitales,loquepermitealosusuariosdeempresaacceder deformasegurayoptimizadaaservicioscorporativos.Loscertificadosdigitalesse componendeunaclavepblica,ydeinformacinsobreelusuarioylaentidademisora delcertificado.Loscertificadosdigitalessonunaformadeidentificarsequeoptimizala autenticacin,laintegridaddelosdatosyelcifrado. EneliPad,loscertificadossepuedenusardevariasmaneras.Lafirmadedatoscon uncertificadodigitalayudaagarantizarquelainformacinnopuedamodificarse.Los certificadostambinsirvenparagarantizarlaidentidaddelautorofirmante.Adems, sepuedenusarparacifrarPerfilesdeConfiguracinycomunicacionesdered,conelfin deaumentarlaproteccindeinformacinconfidencialoprivada.
UsodecertificadoseneliPadCertificados digitales Loscertificadosdigitalessirvenparaautenticardeformaseguraausuariosdeservicios corporativossinnecesidaddeemplearnombresdeusuario,contraseasnitokens porsoftware.EneliPad,laautenticacinbasadaencertificadosseusaparaaccedera servidoresdeExchangeActiveSyncdeMicrosoft,ascomoaredesVPNyWi-Fi.Formatos de identidad y certificado admitidos: EliPadadmiteloscertificadosX.509 conclavesRSA. Reconocelasextensionesdearchivo .cer,.crt,.der,.p12y.pfx. Certificados raz EliPadincluyedeseriediversoscertificados razpreinstalados.Sideseasconsultarunalista deestoscertificados,leeelartculodeSoporte deApplequeencontrarsen http://support.apple.com/kb/HT3580.Siusas uncertificadorazquenoestpreinstalado, comouncertificadorazautofirmadocreado portuempresa,puedesdistribuirloaliPad medianteunodelosmtodosenumerados enelapartadoDistribucineinstalacinde certificadosdeestedocumento.Entidademisorade certificados Solicituddeautenticacin Serviciosempresariales Intranet,correoelectrnico,VPNyWi-Fi Serviciode directorio
Certificados de servidor Loscertificadosdigitalestambinsepuedenusarparavalidarycifrarcomunicaciones deredes.Estoofreceunacomunicacinseguraconsitioswebtantointernoscomo externos.ElnavegadorSafaripuedecomprobarlavalidezdeuncertificadodigital X.509yconfigurarunasesinseguraconcifradoAESdehasta256bits.Asseverificala legitimidaddelaidentidaddelsitioysegarantizalaproteccindelacomunicacincon elsitiowebparaevitarlainterceptacindedatospersonalesoconfidenciales.
Solicitud HTTPS
Serviciosdered
Entidademisorade certificados
13
DistribucineinstalacindecertificadosDistribuircertificadosaliPadesfcil.Cuandorecibeuncertificado,elusuariosolo tienequetocarloparaversucontenido,ydarotrotoqueparaaadirelcertificadoal dispositivo.Alinstalaruncertificadodeidentidad,sesolicitaalusuarioqueintroduzca lafraseclavequeloprotege.Sinosepuedeverificarlaautenticidaddeuncertificado, elusuariorecibeunaalertaantesdeaadirloaldispositivo. Instalacin de certificados mediante Perfiles de Configuracin Siseusanperfilesdeconfiguracinparadistribuirlosajustesdelosservicios corporativos,comoExchange,VPNoWi-Fi,loscertificadossepuedenaadiralperfil conelfindeoptimizarlaimplantacin. Instalacin de certificados mediante Mail o Safari Siseenvauncertificadoenuncorreoelectrnico,semostrarcomounadjunto. TambinsepuedeusarSafariparadescargarcertificadosdesdeunapginaweb. PuedesalojaruncertificadoenunsitiowebseguroyfacilitaralosusuarioslaURL desdelaquepuedendescargarelcertificadoensusdispositivos. Instalacin mediante el protocolo SCEP (Simple Certificate Enrollment Protocol) SCEPestdiseadoparaofrecerunaccesosimplificadoafindeadministrarla distribucindecertificadosenimplantacionesagranescala.Estopermitelainscripcin inalmbricaeneliPaddecertificadosdigitales,quesepuedenutilizarparala autenticacindelaccesoaservicioscorporativos,yparalainscripcinenunservidor deMobileDeviceManagement. SideseasmsinformacinsobreelprotocoloSCEPylainscripcininalmbrica,visita www.apple.com/ipad/business/resources. Revocacin y eliminacin de certificados Paraeliminarmanualmenteuncertificadoyainstalado,seleccionaAjustes>General >Perfiles.Sieliminasuncertificadonecesarioparaaccederaunacuentaored,el dispositivonopodrvolveraconectarseaesosservicios. ParaeliminarcertificadosinalmbricamentesepuedeusarunservidordeMobile DeviceManagement.Esteservidorpuedevertodosloscertificadosdeundispositivoy eliminarlosquetengainstalados. Adems,eliPadadmiteelprotocoloOCSP(OnlineCertificateStatusProtocol),quesirve paracomprobarelestadodeloscertificados.Cuandoseusauncertificadoqueemplea OCSP,eliPadlovalidaparacomprobarquenohayasidorevocadoantesdellevara cabo la tarea solicitada.
2011AppleInc.Todoslosderechosreservados.Apple,ellogotipodeApple,iPadySafarisonmarcascomercialesdeAppleInc., registradasenEE.UU.yenotrospases.Otrosnombresdeproductosyempresasmencionadosenelpresentedocumentopueden sermarcascomercialesdesusrespectivascompaas.Lasespecificacionesdelproductoestnsujetasacambiossinprevioaviso. Estedocumentoseproporcionaconfinesmeramenteinformativos;Applerenunciaacualquierresponsabilidadrelacionadaconsu uso.Marzode2011L422499B-ES
14
El iPad en la empresa SeguridadEliPadaccedealosserviciosdelaempresadeformasegurayprotegelosdatos quecontiene.EliPadofrececifradoseguroenlatransmisindedatosymtodosde autenticacinacreditadosparaaccederalosserviciosdelaempresa.Adems,todos losdatosalmacenadoseneldispositivosecifranporhardware.EliPadtambinofrece proteccinseguramedianteelusodepolticasdecontraseaquesepuedendisear eimponerdeformainalmbrica.Adems,sieldispositivocayeseenmalasmanos,los usuariosylosadministradoresdeTIpuedenenviarunaordendeborradoremotopara garantizarquelainformacinprivadaseborra. CuandonosplanteamoslaseguridaddeliPadparasuusoenempresas,estilconocerlo siguiente: Seguridaddeldispositivo:mtodosqueimpidenelusonoautorizadodeldispositivo. Seguridaddedatos:mximaproteccindelosdatos,inclusosieldispositivosepierdeo lo roban. Seguridaddered:protocolosderedycifradodelosdatostransmitidos. Seguridaddeaplicaciones:fundamentosdelaplataformaseguradeiOS. Estasfuncionesseconjuganparaofrecerunaplataformaseguradeinformticamvil.
Proteccin de dispositivos Contraseasseguras Caducidaddecdigos Historialdereutilizacindecontraseas Nmeromximodeintentosfallidos Imposicininalmbricadelusodecontraseas Desactivacinprogresivaporcontraseaerrnea Seguridad de datos Cifradoporhardware Proteccindedatos Borradoremoto Borradolocal PerfilesdeConfiguracincifrados CopiasdeseguridaddeiTunescifradas Seguridad de red IntegracindeVPNIPSecdeCisco,L2TPyPPTP VPNconSSLmedianteappsdelAppStore SSL/TLSconcertificadosX.509 WPA/WPA2Enterprisecon802.1X Autenticacinbasadaencertificados RSASecureIDyCRYPTOCard Seguridad de la plataforma Proteccindeejecucin Firmadecdigoobligatoria Serviciosdellavero InterfacesAPICryptocomunes Proteccindedatosdeaplicaciones
Seguridaddeldispositivo.EsimportanteestablecerestrictaspolticasdeaccesoaliPadparaprotegerlainformacin delaempresa.Lacontraseadedispositivoeslaprimeralneadedefensacontrausos noautorizadosysepuedeconfigurareimponerdeformainalmbrica.EliPademplea lacontraseaexclusivadeterminadaporcadausuarioparagenerarunaclavedecifrado seguraconlaqueprotegerenmayormedidaelcorreoylosdatosconfidencialesdelas aplicacionesdeldispositivo.Adems,eliPadproporcionamtodossegurosdeconfigurar elterminalenentornosempresariales,dondesedebenaplicarciertosajustes,polticasy limitaciones.Estosmtodosproporcionanopcionesflexiblesparaestablecerunnivelde proteccinestndarparalosusuariosautorizados. Polticas de contrasea Unacontraseadedispositivoimpidequelosusuariossinautorizacinaccedana losdatosguardadoseneliPadoinclusoaldispositivo.iOS4permiteelegirentreun amplioconjuntoderequisitosparacontraseasconlosquesatisfacerlasnecesidades deseguridad,comoperiodosdeinactividad,solidezdelascontraseasyfrecuenciade modificacindelacontrasea. Seofrecenlassiguientespolticasdecontrasea: Exigenciadecontraseaeneldispositivo Autorizacindevaloressimples Exigenciadecontraseasalfanumricas Longitudmnimadecontrasea Nmeromnimodecaracterescomplejos Vigenciamximadecontraseas Bloqueoautomtico Historialdecontraseas Periododegraciaparabloqueodeldispositivo Nmeromximodeintentosfallidos
15
Imposicin de polticas LaspolticasdescritasarribasepuedenconfigurareneliPaddediversasmaneras.Las polticastambinpuedendistribuirsecomopartedeunPerfildeConfiguracinpara queloinstalenlosusuarios.Elperfilsepuededefinirdemodoquesolosepueda borrarconunacontraseadeadministrador,oparaqueestligadoalterminaly solosepuedaborrarsiseborratodoelcontenidodelequipo.Adems,losajustes decontraseassepuedenconfigurarremotamentemediantesolucionesdeMobile DeviceManagement,capacesdetransmitirlaspolticasdirectamentealdispositivo. Estopermiteimponeryactualizarlaspolticassinqueelusuariodebahacernada. Opcionalmente,sieldispositivoestconfiguradoparaaccederaunacuentade ExchangedeMicrosoft,laspolticasdeExchangeActiveSyncsonremitidasdeforma inalmbricaaldispositivo.Recuerdaqueelconjuntodisponibledepolticasdepende delaversindeExchange(2003,2007o2010).EnlaGuadeintegracinenempresas encontrarsundesglosedelaspolticasadmitidasparatuconfiguracinespecfica. Configuracin del dispositivo segura LosPerfilesdeConfiguracinsonarchivosXMLquecontienenlaspolticasdeseguridad yrestriccionesdeldispositivo,lainformacindelaconfiguracindelaredVPN, losajustesWi-Fiylascuentasdecorreoelectrnicoycalendarios,ascomolas credencialesdeautenticacinquepermitenqueeliPadfuncioneconlossistemasde laempresa.Laposibilidaddeestablecerpolticasdecontraseayajustesdedispositivo conunPerfildeConfiguracingarantizaquelosdispositivosdelaempresaestn correctamenteconfiguradosyrespetenlosestndaresdeseguridadestablecidospor laorganizacin.ComolosPerfilesdeConfiguracinsepuedencifrarybloquear,los ajustesnosepuedeneliminar,modificarnicompartirconotrosusuarios. LosPerfilesdeConfiguracinsepuedenfirmarycifrar.LafirmadeunPerfilde Configuracingarantizaquenosepuedanmodificarlosajustesqueestablece. ElcifradodeunPerfildeConfiguracinprotegesucontenidoysolopermitesu instalacineneldispositivoparaelquefuecreado.LosPerfilesdeConfiguracinse cifranconCMS(CryptographicMessageSyntax,RFC3852).Seadmitenlosalgoritmos 3DESyAES128. LaprimeravezquesedistribuyeunPerfildeConfiguracincifrado,seinstala mediantesincronizacinUSBempleandolautilidaddeconfiguracin,obienmediante inscripcininalmbrica.Ademsdeestosmtodos,ladistribucinposteriordePerfiles deConfiguracincifradossepuederealizarmedianteunadjuntodecorreoelectrnico, alojadoenunsitiowebaccesibleparalosusuarios,obienseenvaaldispositivo mediantesolucionesdeMobileDeviceManagement. Restricciones del dispositivo LasrestriccionesdedispositivodeterminanquprestacionesdeliPadestndisponibles paralosusuarios.NormalmenteseaplicanaprogramasconconexinaInternet,como Safari,YouTubeoeliTunesStore,perolasrestriccionestambinpuedencontrolar aspectoscomolainstalacindeaplicacionesoelusodelacmara.Lasrestricciones dedispositivopermitenconfigurareldispositivoenfuncindelosrequisitosdecada empresa,demodoquelosusuariosloempleendeacuerdoconlasprcticasdela organizacin.Lasrestriccionespuedenconfigurarseamanoencadadispositivo, imponerseconunPerfildeConfiguracinoestablecerseadistanciaconsolucionesde MobileDeviceManagement.Adems,lasrestriccionesdenavegacinwebodeluso delacmarasepuedenaplicardeformainalmbricaconExchangeServer2007y2010 deMicrosoft. Apartedelasrestriccionesdeajustesypolticasdeldispositivo,laaplicaciniTunesse puedeconfigurarycontrolardesdeeldepartamentodeTI.Estoincluyeelbloqueodel accesoacontenidoexplcito.Paraellosedefinenlosserviciosdereddisponiblesdesde iTunesysedeterminasisepuedeninstalaractualizacionesdeprogramas.
Restricciones disponibles AccesoaliTunesStore Accesoamediosexplcitosyvaloraciones decontenidoeneliTunesStore UsodeSafariypreferenciasdeseguridad UsodeYouTube UsodelAppStoreycompradesdeapps Instalacindeapps Posibilidaddecapturarpantallas Sincronizacinautomticaenitinerancia Usodemarcacinporvoz ImposicindecopiasdeseguridaddeiTunes cifradas Usodelacmara
16
SeguridaddelosdatosLaproteccindelosdatosalmacenadoseneliPadesimportanteparacualquier entornoenelquehayainformacinconfidencialdelaempresaolosclientes.Adems decifrarlosdatostransmitidos,eliPadofrececifradoporhardwareparalosdatos almacenadoseneldispositivo,ycifradoadicionaldecorreoselectrnicosydatosde aplicacionesconunnivelsuperiordeproteccindedatos. Siundispositivoseextravaoesobjetodehurto,esimportantedesactivarloyborrar sucontenido.Tambinesbuenaideainstaurarunapolticaqueborreeldispositivo trasunnmerodeterminadodeintentosfallidosdeintroduccindelacontrasea,lo cualesunaexcelentemedidadisuasoriaparaevitarelintentodeaccesonoautorizado aldispositivo. Cifrado ElcifradoporhardwaredeliPademplealacodificacinAESde256bitsparaproteger losdatosdeldispositivo.Elcifradoestsiempreactivadoyelusuarionolopuede desconectar. Adems,losdatosguardadosconlacopiadeseguridaddeiTunesenelordenadordel usuariosepuedencifrar.Estopuedeseractivadoporelusuariooimpuestomediante losajustesderestriccindeldispositivodelosperfilesdeconfiguracin. Proteccin de datos DeformacomplementariaalasfuncionesdecifradoporhardwaredeliPad,los mensajesdecorreoelectrnicoylosadjuntosalmacenadoseneldispositivose puedensalvaguardarenmayormedidamediantelasprestacionesdeproteccinde datosintegradaseniOS4.Laproteccindedatosemplealacontraseaexclusiva deldispositivodelusuarioencombinacinconelcifradoporhardwaredeliPadpara generarunaclavedecifradosegura.Estaclaveevitaelaccesoalosdatoscuandoel dispositivoestbloqueado,loquegarantizaquelainformacincrucialestsegura inclusosieldispositivonoloest. Laactivacindelaproteccindedatosrequierequelosdispositivosexistentessean completamenterestauradosdesdeunacopiadeseguridadalcambiaralaversin iOS4.LosnuevosdispositivosentregadosconiOS4yapresentanestacaracterstica. Paraactivarlaprestacindeproteccindedatossoloesnecesarioestableceruna contraseaeneldispositivo.Laeficaciadelaproteccindedatosdependede unacontraseasegura,porloqueesimportanteexigireimponerunacontrasea msfuertequelasdecuatrodgitosalestablecerlaspolticasdecontraseadela empresa.Losusuariospuedencomprobarsilaproteccindedatosestactivadaensu dispositivoconsultandolapantalladeajustesdecontrasea.LassolucionesdeMobile DeviceManagementtambinpermitensolicitarestainformacinaldispositivo. EstasAPIdeproteccindedatostambinestnadisposicindelosdesarrolladores,y sepuedenusarparasalvaguardarlosdatosdeaplicacionescomercialesointernas. Borrado remoto EliPadadmitelaopcindeborradoremoto.Sielterminalsepierdeoloroban,el administradoropropietariopuedeemitirunaordendeborradoremotoqueelimina todossusdatosylodesactiva.Sieldispositivoestconfiguradoconunacuenta deExchange,eladministradorpuedeiniciarunaordendeborradoremotodesde
Desactivacin progresiva por contrasea errnea EliPadsepuedeconfigurarparainiciar automticamenteunborradotrasvarios intentos fallidos de introduccin de lacontrasea.Siunusuariointroduce repetidamentelacontraseaincorrecta,eliPad sebloquearduranteperiodoscadavezms prolongados.Trasunnmerodeterminadode intentosfallidos,seborrarntodoslosdatosy ajustesdeldispositivo.
17
laconsolaExchangeManagementConsole(ExchangeServer2007)oExchange ActiveSyncMobileAdministrationWebTool(ExchangeServer2003o2007).Los usuariosdeExchangeServer2007tambinpuedendarlaordendeborradoremoto directamenteconOutlookWebAccess.Lasrdenesdeborradoremototambinse puedeniniciardesdesolucionesdeMobileDeviceManagement,inclusosinoseusan servicioscorporativosdeExchange. Borrado local Losterminalestambinpuedenconfigurarseparainiciarunborradolocal automticamentetrasvariosintentosfallidosdeintroduccindelacontrasea.Esto protegecontralosintentosdeforzarelaccesoaldispositivo.Cuandoseestablece unacontrasea,losusuariostienenlaposibilidaddeactivardirectamenteelborrado localdesdelosajustesdeliPad.Deserie,eliPadborraeldispositivoautomticamente despusde10intentosfallidosdeintroduccindelacontrasea.Comoconotras polticasdecontrasea,elnmeromximodeintentosfallidossepuedeestablecer medianteunPerfildeConfiguracin,conunservidordeMobileDeviceManagemento deformainalmbricaconpolticasdeExchangeActiveSyncdeMicrosoft.
Protocolos de VPN IPSecdeCisco L2TP/IPSec PPTP VPNconSSL Mtodos de autenticacin Contrasea(MSCHAPv2) RSASecurID CRYPTOCard CertificadosdigitalesX.509 Secretocompartido Protocolos de autenticacin 802.1X EAP-TLS EAP-TTLS EAP-FAST EAP-SIM PEAPv0,v1 LEAP Formatos de certificado admitidos EliPadadmiteloscertificadosX.509conclaves RSA.Reconocelasextensionesdearchivo.cer, .crty.der.
SeguridadderedLosusuariosmvilesdebensercapacesdeaccederalasredesdeinformacin corporativasdesdecualquierlugardelmundo,perotambinesimportanteasegurarse dequelosusuariosestnautorizadosydequelosdatosestnprotegidosdurante latransmisin.EliPadofrecetecnologasacreditadasparacumplirestosobjetivosde seguridad,paraconexionestantoWi-Ficomoderedesdetelefonamvil. VPN Muchosentornosempresarialestienenalgntipoderedprivadavirtual.Estosservicios segurosderedyaestnimplantadosysuelenrequerirunaconfiguracinmnimapara funcionar con el iPad. Deserie,eliPadseintegraconunaampliagamadetecnologasVPNmuyextendidas, yaqueescompatibleconIPSecdeCisco,L2TPyPPTP.Adems,eliPadadmiteVPN conSSLmedianteaplicacionesdeJuniper,CiscoyF5Networks.Lacompatibilidad conestosprotocolosgarantizaelmximoniveldecifradoporIPparalatransmisinde informacinconfidencial. AdemsdepermitirelaccesoseguroaentornosVPNexistentes,eliPadofrece mtodosacreditadosparalaautenticacindeusuarios.Laautenticacinmediante certificadosdigitalesX.509estndarofrecealusuariounaccesooptimizadoalos recursosdelaempresayconstituyeunaalternativaviablealostokensporhardware. Adems,laautenticacinconcertificadopermitealiPadaprovecharlasventajasde VPNporpeticin,conloqueelprocesodeautenticacinVPNestransparentesin dejardeofrecerunaccesoidentificadoslidoalosserviciosdered.Paraentornos empresarialesenlosqueseexigeuntokendedoblefactor,eliPadseintegraconRSA SecurIDyCRYPTOCard. EliPadadmitelaconfiguracindeproxydered,ascomotnelIPdividido,demodo queeltrficoadominiosderedpblicosoprivadosesremitidoenfuncindelas polticasdelaempresa. SSL/TLS EliPadadmiteSSLv3ytambinTransportLayerSecurity(TLSv1.0),elestndar deseguridaddeltimageneracinparaInternet.Safari,Calendario,Mailyotras aplicacionesdeInternetinicianautomticamenteestosmecanismosparaestablecer uncanaldecomunicacincifradaentreeliPadylosservicioscorporativos. WPA/WPA2
18
EliPadutilizaWPA2Enterpriseparaofreceraccesoautenticadoalaredinalmbrica delaempresa.WPA2EnterpriseempleacifradoAESde128bits,queofrecealos usuarioslasmximasgarantasdequesusdatosestarnprotegidosalenviaryrecibir comunicacionesatravsdelaconexinaunaredWi-Fi.Adems,comoeliPades compatiblecon802.1X,puedeintegrarseenunamplioabanicodeentornosde autenticacinRADIUS.
SeguridaddeaplicacionesiOSestntegramentedesarrolladoparaofrecerlamximaseguridad.Incluyeun sistemadejaulasparalaproteccindeaplicacionesentiempodeejecucinyexige lafirmadigitalparaquenosepuedanmanipularlasaplicaciones.iOStambincuenta conunentornoprotegidoquepermiteguardarconseguridadlascredencialesde serviciosdeaplicacionesyredesenunllaverocifrado.Paralosdesarrolladores,ofrece unaarquitecturadecifradocomnquepuedeusarseparacifraralmacenesdedatos de aplicaciones. Proteccin de ejecucin Lasaplicacionesdeldispositivoestnenjauladas,demodoquenopuedenaccedera datosalmacenadosporotrasaplicaciones.Adems,losarchivos,losrecursosyelkernel delsistemaestnaisladosdelespacioparaaplicacionesdelusuario.Siunaaplicacin necesitaaccederadatosdeotraaplicacin,solopuedehacerlousandolasAPIylos serviciosofrecidosporiOS.Tambinseimpidelageneracindecdigo. Firma de cdigo obligatoria TodoslosprogramasparaeliPaddebenirfirmados.Lasaplicacionesqueel terminalincluyedeserievienenfirmadasporApple.Lasdetercerossonfirmadas poreldesarrolladorusandouncertificadoemitidoporApple.Assegarantizaque lasaplicacionesnohayansidomanipuladasnimodificadas.Adems,serealizan comprobacionesentiempodeejecucinparagarantizarqueunaaplicacinnohaya dejadodeserdeconfianzadesdesultimautilizacin. Elusodeaplicacionespersonalizadasointernassepuedecontrolarconunperfilde datos.Losusuariosdebenteneresteperfilinstaladoparapoderejecutarlaaplicacin encuestin.Losperfilesdedatossepuedeninstalarorevocarinalmbricamente mediantesolucionesdeMobileDeviceManagement.Losadministradorestambin pueden limitar el uso de una aplicacin en determinados terminales. Entorno de autenticacin seguro EliPadproporcionaunllaverocifradosegurodondeguardaridentidadesdigitales, nombresdeusuarioycontraseas.Losdatosdelllaverosecompartimentanparaque lascredencialesguardadasporaplicacionesdetercerosnopuedanserutilizadaspor aplicacionesconunaidentidaddiferente.Estoconstituyeelmecanismoparaproteger lascredencialesdeautenticacindeliPadenunaampliagamadeaplicacionesy serviciosdelaempresa. Arquitectura Crypto comn LosdesarrolladoresdeaplicacionestienenaccesoaAPIdecifradoquepuedenusar paraelevarlaproteccindelosdatosdesusaplicaciones.Losdatossepuedencifrar simtricamentemediantemtodosacreditados,comoAES,RC4o3DES.Adems, eliPadofreceaceleracinporhardwareparaelcifradoAESyelhashSHA1,loque optimizaelrendimientodelasaplicaciones. Proteccin de datos de aplicaciones LasaplicacionestambinpuedenutilizarelcifradoporhardwareintegradoeneliPad paraprotegerenmayormedidasusdatosconfidenciales.Losdesarrolladorespueden designarquarchivosconcretosdebenprotegerse,indicandoalsistemaqueel contenidodeesosarchivosdebeserinaccesiblecriptogrficamenteparalaaplicacin ycualquierintrusopotencialcuandoeldispositivoestbloqueado.
19
DispositivorevolucionarioyseguroporloscuatrocostadosEliPadofreceproteccincifradadedatosentrnsito,enreposoyenlascopiasde seguridaddeiTunes.Cuandounusuarioaccedealcorreoelectrnicocorporativo,visita unsitiowebprivadooseautenticaenlaredempresarial,eliPadgarantizaquesolo losusuariosautorizadospuedanaccederalainformacinconfidencialdelaempresa. Adems,graciasasucompatibilidadconlasredesempresarialesyasuscompletos mtodosdeprevencindeprdidadedatos,eliPadsepuedeimplantarconla tranquilidadquesuponeemplearunsistemadeseguridaddedispositivosmvilesy proteccin de datos plenamente acreditado. SideseasobtenermsinformacinyrecursosdeimplantacinparaeliPad,visita www.apple.com/es/ipad/business/integration/.
2011AppleInc.Todoslosderechosreservados.Apple,ellogotipodeApple,iPad,iTunesySafarisonmarcascomercialesde AppleInc.,registradasenEE.UU.yenotrospases.AppStoreesunamarcadeserviciodeAppleInc.iTunesStoreesunamarca deserviciodeAppleInc.,registradaenEE.UU.yenotrospases.Otrosnombresdeproductosyempresasmencionadosenel presentedocumentopuedensermarcascomercialesdesusrespectivascompaas.Lasespecificacionesdelproductoestn sujetasacambiossinprevioaviso.Estedocumentoseproporcionaconfinesmeramenteinformativos;Applerenunciaacualquier responsabilidadrelacionadaconsuuso.Marzode2011L422500B-ES
20
El iPad en la empresa Mobile Device Management
EliPadadmiteelsistemaMobileDeviceManagement(administracindedispositivos mviles),loquepermitealasempresasadministrarimplantacionesampliablesdel iPadensusorganizaciones.EstasfuncionesdeMobileDeviceManagementsebasan entecnologasyaexistenteseniOS,comolosPerfilesdeConfiguracin,lainscripcin inalmbricayelserviciodenotificacinpushdeApple,ysepuedenintegrarcon solucionesdeservidorpropiasodeterceros.EstopermitealosdepartamentosdeTI inscribirdeformaseguraeliPadenunentornoempresarial,configuraryactualizar ajustesinalmbricamente,supervisarelcumplimientodelaspolticascorporativase inclusobloquearyborrardeformaremotalosiPadqueestnbajosuadministracin.
AdministracindeliPadLaadministracindeliPadserealizamedianteunaconexinconunservidorde MobileDeviceManagement.Comoyasehasealado,esteservidorsepuedeadquirir enunproveedorexterno.CuandounservidordeMobileDeviceManagementquiere comunicarseconuniPad,seenvaunanotificacinmudaaldispositivoparaindicarle queseregistreenelservidor.Eldispositivosecomunicaconelservidorparaversihay tareaspendientesyrespondeconlasaccionesoportunas.Estastareaspuedenconsistir enactualizarpolticas,ofrecerlainformacindedispositivooderedsolicitada,o eliminarajustesydatos. Lasfuncionesdeadministracinserealizanensegundoplano,sinintervencindel usuario.Porejemplo,siundepartamentodeTIactualizalainfraestructuradesured VPN,elservidordeMobileDeviceManagementpuedeconfigurareliPadconnuevos datosdecuentadeformainalmbrica.Laprximavezqueelempleadouselared VPN,laconfiguracincorrectayaestarimplantada,porloqueelusuariononecesitar llamaralserviciodeasistenciatcnicanimodificarmanualmenteningnajuste. ParailustrarlasfuncionesdeMobileDeviceManagement,estedocumentoest organizadoencuatrocategorasdeimplantacin:inscripcin,configuracin,consultas yadministracin.
Cortafuegos
Serviciodenotificaciones pushdeApple
ServidordeMDMde terceros
21
InscripcinElprimerpasoparalaadministracindeliPadesinscribireldispositivoenunservidor deMobileDeviceManagement.Estocreaunarelacinentreeldispositivoyel servidor,ypermitequeeldispositivoseaadministradobajopeticinsinlaposterior intervencindelusuario.SepuederealizardeformainalmbricaoconectandoeliPad aunordenadorporUSB. Comomtodoparainscribirdispositivosenunentornoempresarialdeformaseguray ampliable,eliPadadmiteunprocesollamadoinscripcininalmbrica(Over-the-Air Enrollment). Conestemtodo,laempresaofreceunportalwebseguroenelquelosusuarios puedeninscribirsusdispositivosparaqueseanadministrados.Deestemodo,el servidorpuedeconfigurarlosdispositivosadministradosconlasrestriccionesylos accesos a cuentas correspondientes. Descripcin del proceso Elprocesodeinscripcininalmbricacomprendetresfasesque,combinadasenun flujodetrabajoautomatizado,ofrecenunaformaseguradeimplantarlosdispositivos enlaempresa.Estasfasesson: 1. Autenticacin del usuario Laautenticacindelusuariogarantizaquelaspeticionesdeinscripcinentrantes provengandeusuariosautorizados,yquelainformacindeldispositivodelusuario searecopiladaantesdeprocederconlainscripcindelcertificado.Losadministradores puedensolicitaralusuarioqueinicieelprocesodeinscripcinproporcionndolesuna URLporcorreoelectrnicooSMS. 2. Inscripcin de certificado Unavezautenticadoelusuario,eliPadgeneraunapeticindeinscripcinde certificadomedianteelprotocoloSCEP(SimpleCertificateEnrollmentProtocol).Esta peticindeinscripcinsecomunicadirectamenteconlaautoridaddecertificados(CA) delaempresaypermitequeeliPadrecibaelcertificadodeidentidadremitidoporla CA. 3. Configuracin de dispositivos Unavezinstaladouncertificadodeidentidad,eliPadpuederecibirinformacinde configuracincifradadeformainalmbrica.Estainformacinsolosepuedeinstalaren eldispositivoparaelquesegenerycontieneajustesquepermitenaliPadconectarse alservidordeMobileDeviceManagement. Alfinaldelprocesodeinscripcin,sepresentaralusuariounapantalladeinstalacin quedescribelosderechosdeaccesodelservidordeMobileDeviceManagementcon respectoaldispositivo.Cuandoelusuarioaceptelainstalacindelperfil,eldispositivo quedarautomticamenteinscrito,sinnecesidaddequeelusuariovuelvaaintervenir.
El iPad y el protocolo SCEP EliPadadmiteelprotocoloSCEP(Simple CertificateEnrollmentProtocol).ElSCEPesun borradordeInternetdelIETF.Estdiseado parasimplificarladistribucindecertificados en implantaciones a gran escala. Permite la inscripcininalmbricadecertificadosde identidadeneliPad,quesepuedenusar paralaautenticacinenelaccesoaservicios corporativos.
22
ConfiguracinUnavezinscritocomodispositivoadministrado,sepuedeusarelservidordeMobile DeviceManagementparaconfigurarlodinmicamenteconajustesypolticas.El servidorenvaaldispositivoconfiguraciones,llamadasPerfilesdeConfiguracin,yse instalanautomticamente. LosPerfilesdeConfiguracinsonarchivosXMLquecontieneninformacinyajustes deconfiguracinquepermitenqueeliPaduselossistemasdelaempresa.Estosdatos incluyeninformacindecuentas,polticasdecontrasea,restriccionesyotrosajustes deldispositivo. Cuandosecombinaconelprocesoyadescritodeinscripcin,laconfiguracindel dispositivogarantizaaldepartamentodeTIquesololosusuariosdeconfianzapodrn accederalosservicioscorporativos,yquelosdispositivoscumplirnlaspolticas establecidas. Comolosperfilesdeconfiguracinsepuedenfirmar,cifrarybloquear,losajustesnose puedeneliminar,modificarnicompartirconotrosusuarios.
Ajustes configurables admitidosCuentas ExchangeActiveSync CorreoelectrnicoIMAP/POP VPN Wi-Fi LDAP CalDAV CardDAV Calendariossuscritos Restricciones Instalacindeapps Cmara Capturadepantallas Sincronizacinautomticadecuentasde correo en itinerancia Marcacinporvozcondispositivobloqueado Comprasdesdeaplicaciones Exigenciadecopiasdeseguridadcifradas eniTunes MsicaypodcastsexplcitoseniTunes Autorizacindevaloracionesdecontenidodepelculas,programasdeTVyapps YouTube iTunesStore AppStore Safari PreferenciasdeseguridaddeSafari
Polticas Exigenciadecontrasea Autorizacindevaloressimples Exigenciadecontraseasalfanumricas Longituddecontrasea Nmerodecaracterescomplejos Vigenciamximadecontraseas Intervaloprevioabloqueoautomtico Nmerodecontraseasdistintasantesde reutilizacin Otros ajustes Periododegraciaparabloqueodel Certificadoseidentidades dispositivo Clipsweb Nmerodeintentosfallidosantesdel AjustesAPN borrado Controldelaeliminacindelperfildeconfiguracin por parte del usuario
23
ConsultaAdemsdeconfigurardispositivos,unservidordeMobileDeviceManagementpuede consultaralosdispositivosdiversainformacin.Estainformacinsepuedeemplear paracomprobarquelosdispositivossigancumpliendolaspolticasexigidas. ElservidordeMobileDeviceManagementdeterminalafrecuenciaconquerecopila esta informacin.
Consultas admitidasInformacin del dispositivo Identificadorexclusivodeldispositivo(UDID) Nombredeldispositivo VersindeiOSybuild Nombreynmerodemodelo Nmerodeserie Capacidadyespaciodisponible IMEI Firmwaredelmdem Informacin de red ICCID DireccionesMACdeBluetoothyWi-Fi Reddeloperadoractual ReddeloperadorSIM Versindeajustesdeloperador Nmerodetelfono Ajustedeitineranciadedatos(activado/ desactivado) Datos de seguridad y cumplimiento PerfilesdeConfiguracininstalados Certificadosinstaladosconfechadecaducidad Listadetodaslasrestriccionesimpuestas Funcindecifradoporhardware Contraseapresente Aplicaciones Aplicacionesinstaladas(identificadordela app,nombre,versin,tamaoyvolumen dedatosdelaapp) Perfilesdedatosinstaladosconfechade caducidad
GestinCuandoundispositivoestadministrado,elservidordeMobileDeviceManagement puedellevaracaboestatareamedianteunconjuntodeaccionesespecficas.
Acciones admitidasBorrado remoto UnservidordeMobileDeviceManagementpuedeborrarelcontenidodeuniPad deformaremota.Estaaccineliminarpermanentementelainformacinyarchivos digitalesdeliPad,yrestaurarsuconfiguracindefbrica. Bloqueo remoto ElservidorbloqueaeliPadyexigelacontraseadeldispositivoparadesbloquearlo. Borrar contrasea Estaaccineliminatemporalmentelacontraseadeldispositivoparalosusuarios quelahanolvidado.Sieldispositivotieneunapolticadeexigenciadecontrasea,se indicaralusuarioquedebecrearunanueva. Perfiles de Configuracin y de Datos Paraconfigurardispositivosydistribuiraplicacionesdedesarrollointerno,los servidoresdeMobileDeviceManagementpuedenaadiryeliminarPerfilesde ConfiguracinydeDatosdeformaremota.
24
Descripcin del procesoEsteejemploilustraunaimplantacinbsicadeunservidordeMobileDeviceManagement.1 Cortafuegos
3
2 4 Serviciodenotificaciones pushdeApple ServidordeMDMdeterceros
5
1
SeenvaaldispositivounPerfildeConfiguracinquecontienelosdatosdelservidordeMobileDeviceManagement.Elusuario recibeinformacinsobrequseradministradouobjetodeconsultaporpartedelservidor. Elusuarioinstalaelperfilparaaceptarqueeldispositivoseaadministrado. Lainscripcindeldispositivoserealizaalinstalarelperfil.Elservidorvalidaeldispositivoypermiteelacceso. Elservidorenvaunanotificacinpushqueindicaaldispositivoqueseregistreparallevaracabotareasoconsultas. EldispositivoseconectadirectamentealservidormedianteHTTPS.Elservidorenvacomandososolicitainformacin.
2 3 4 5
SideseasmsinformacinsobreMobileDeviceManagement,visitawww.apple.com/es/ipad/business/integration.
2011AppleInc.Todoslosderechosreservados.Apple,ellogotipodeApple,iPad,iTunesySafarisonmarcascomercialesdeAppleInc.,registradasenEE.UU.yenotrospases.AppStoreesunamarcade serviciodeAppleInc.iTunesStoreesunamarcadeserviciodeAppleInc.,registradaenEE.UU.yenotrospases.LamarcaBluetoothesunamarcacomercialregistradadeBluetoothSIGInc.,yAppledisponedelicenciaparausardichamarca.Otrosnombresdeproductosyempresasmencionadosenelpresentedocumentopuedensermarcascomercialesdesusrespectivascompaas.Lasespecificaciones delproductoestnsujetasacambiossinprevioaviso.Estedocumentoseproporcionaconfinesmeramenteinformativos;Applerenunciaacualquierresponsabilidadrelacionadaconsuuso.Marzode2011 L422501B-ES
25
El iPad en la empresa Implantacin de iTunes
IntroduccinAlimplantareliPadenlaempresa,esimportantevalorarelpapeldesempeadopor iTunes.AlgunasfuncionesclaverequiereniTunes,empezandoporlaactivacindel dispositivo.Unavezactivado,iTunesnoesnecesarioparaconfigurarniusareliPadcon lossistemasempresariales.Noobstante,sesnecesarioparainstalaractualizacionesde programasycrearcopiasdeseguridad,queseutilizanpararestaurarlainformacindel usuariootransferirlaaotrodispositivo.iTunestambinsirveparasincronizarmsica, vdeos,aplicacionesyotroscontenidos.Estasfuncionesdesincronizacinnoson necesariasparaelusoprofesionalhabitual.Controles y restricciones de iTunes AlimplantariTunesenlaredcorporativa, puedes restringir las siguientes funciones de iTunesmedianteelregistrodeWindowso PreferenciasdelSistemaenMacOSX: AccesoaliTunesStore Bibliotecascompartidasconordenadoresdela redlocalquetambintenganiTunes ReproduccindecontenidoexplcitodeiTunes Reproduccindepelculas Reproduccindeprogramasdetelevisin ReproduccinderadioporInternet IntroduccindeunaURLdeemisinde medios en streaming Suscripcinapodcasts VisualizacindesugerenciasGeniusalnavegar o reproducir medios Descargadeportadasdelbumes UsodecomplementosdeVisualizer DeteccinautomticadesistemasAppleTV ComprobacindenuevasversionesdeiTunes Comprobacindeactualizacionesdesoftware deldispositivo Sincronizacinautomticaalconectardispositivos RegistroenAppledenuevosdispositivos AccesoaiTunes(iTunesU)
SepuedeelegirentreinstalariTunesenlosordenadoresdelaempresaopediralos empleadosquerealicenestasfuncionesdesdesuordenadorparticular.Enambos casos,losdatoscorporativosestncifradosyprotegidosdurantetodoelproceso.Sise decideusariTunesinternamente,sepuedepersonalizarlaaplicacinparacumplirlas necesidadesdelentornoylaspolticasdeusodelaempresa.Porejemplo,sepuede adaptariTunesrestringiendoodesactivandoserviciosderedcomoeliTunesStoreylas bibliotecascompartidasdemedios,obiencontrolandoelaccesoaactualizacionesde programas.TambinsepuedeimplantariTunesmedianteherramientasdeimplantacin desoftwaredesobremesaadministradasdeformacentralizada. Paraelusuariofinal,iTunesesfcildeusar.Losusuariosqueyaconocenlainterfaz deiTunesparaadministrarcontenidoymediosfueradeltrabajonotendrnningn problemaparaadministrarsucontenidocorporativodesdeeliPad.
UsodeiTunesActivacin ParaactivareliPadypoderempezarausarlo,debeestarconectadoaiTunesmediante USB.ComoiTunesesnecesarioparallevaracaboelprocesodeactivacindeliPad,hay quedecidirsisedeseainstalariTunesenelMacoPCdecadausuario,osiseprefiere completarlaactivacindelosdispositivosconunainstalacincentralizadadeiTunes.En amboscasos,elprocesodeactivacinesrpidoysencillo. ElusuariosolotienequeconectareliPadaunMacoPCconiTunesy,encuestinde segundos,eliPadestaractivadoylistoparasuuso. Unavezactivadoeldispositivo,iTunesofrecesincronizarloconelordenador.Paraevitar estepasoalactivarlosdispositivosdelosusuarios,puedesusariTunesenmododesolo activacin.Assedesactivalasincronizacinylascopiasdeseguridadautomticas,yla aplicacinteinvitaadesconectareldispositivoencuantoconcluyelaactivacin. Sideseasinstruccionessobrecmohabilitarelmododesoloactivacin,consultalaGua de integracin en empresas.
26
Sincronizacin de medios PuedesusariTunesparasincronizarmsica,vdeos,fotosyapps,entreotrascosas. ConiTunesesfcilcontrolarexactamentequsequieresincronizar.Tambinindica claramentecuntoespacioqueda.EliPadsolopuedesincronizarcadatipodedatos conunnicoordenador.Porejemplo,puedessincronizarlamsicacontuordenador personalyloscontactosconelordenadordeltrabajo.Paraellobastaconconfigurar iTunesparaquerealicelassincronizacionesoportunasencadaordenador. Actualizaciones de software iTunesseusaparaactualizaroreinstalarelsoftwaredeliPadypararestaurarlos ajustesporomisinounacopiadeseguridad.Lasactualizacionesnoafectana lasaplicacionesdescargadas,alosajustesnialosdatos.Paraactualizar,elusuario simplementeconectaeliPadalordenadoryhaceclicenBuscarActualizacin. iTunesinformaalusuariosihayunaversinnuevadisponibledelsoftwaredeliPad. Sidesactivaslacomprobacindeactualizacionesautomticaeiniciadaporelusuario, debersdistribuirlasactualizacionesparasuinstalacinmanual.Paraello,distribuyeel archivo.ipswasociadoacadaversindelsoftwareydainstruccionesalusuariopara instalarlaactualizacinmanualmente.Podcasts de iTunes iTunespermitesuscribirseapodcastsde audioyvdeo,ytambindescargarlos.Los podcastssonmuytilesparadistribuir muchoscontenidos,comomaterialesde formacinyenseanza,comunicaciones corporativaseinformacindeproductos. Adems,lospodcastssepuedentransferir fcilmentealiPad,demodoquelosempleados podrnescucharlosyverloscuandoydonde quieran.EliTunesStoretambinincluye miles de podcasts gratuitos de temas de negocioscreadospordiversasinstituciones, comoHarvardBusinessReview,Whartony Bloomberg,entreotras.
Copia de seguridad Aunquelasincronizacindedatosparausuariosdeempresanormalmenteserealiza inalmbricamentemedianteservicioscorporativoscomoExchangeActiveSync,eluso deiTunesparahacercopiasdeseguridaddelosajustesdeliPadesimportantesilos usuariosnecesitanrestaurarsudispositivo.CuandoeliPadsesincronizaconiTunes,los ajustesdeldispositivoseguardanautomticamenteenelordenador.Lasaplicaciones adquiridasenelAppStoresecopianenlabibliotecadeiTunes.Lasaplicaciones desarrolladasinternamenteydistribuidasalosusuariosconperfilesdedatosdela empresanoformanpartedelascopiasdeseguridadnisetransfierenalordenador delusuario.Noobstante,lacopiadeseguridaddeldispositivoincluirlosarchivosde datoscreadosporlasaplicacionesdelaempresa.CuandouniPadestconfigurado parasincronizarseconunordenadorconcreto,iTuneshaceautomticamenteuna copiadeseguridaddeliPadcuandosesincronizacondichoordenador.iTunesno realizarestaoperacinautomticamenteconuniPadquenoestconfiguradopara sincronizarseconeseordenador. LascopiasdeseguridadqueiTuneshaceenelequipoanfitrinsepuedencifrarpara impedirprdidasdedatosnodeseadasenelordenadoranfitrin.Losarchivosdecopia deseguridadsecifranconAES128yunaclavede256bits.Laclavesealmacenade formaseguraenelllaverodeliPad.AlrealizarlaprimeracopiadeseguridaddeliPad, sesolicitaalusuarioquecreeunacontraseasegura.
ImplantacindeiTunesInstalacin iTunesempleainstaladoresestndardeMacOSyWindows,ysepuedeimplantar mediantemuchasdelasaplicacionesdeadministracindesobremesahabitualmente empleadasporlosprofesionalesdeTI.Unavezquesehanmodificadolosajustesy polticasenelinstaladordeiTunes,laaplicacinpuedeimplantarsedelmismomodo queelrestodelasaplicacionesdelaempresa.
27
AlinstalariTunesenordenadoresconWindows,poromisintambinseinstala laltimaversindeQuickTime,BonjouryActualizacindeSoftwaredeApple.Se puedenomitirloscomponentesBonjouryActualizacindeSoftwaredefiniendo losparmetrosenelinstaladordeiTunes,obienenviandoalosordenadoresde losusuariosnicamenteloscomponentesoportunos.Noobstante,elcomponente QuickTimeesnecesario,yiTunesnofuncionarsinl.LosordenadoresMacincluyen iTunesdeserie.ParaenviariTunesalosclientesMac,puedesusarWorkgroupManager, unaherramientaadministrativaincluidaenMacOSXServer.
2011AppleInc.Todoslosderechosreservados.Apple,ellogotipodeApple,AppleTV,Bonjour,iPad,iTunes,iTunesU,Mac,MacOSy QuickTimesonmarcascomercialesdeAppleInc.,registradasenEE.UU.yenotrospases.AppStoreesunamarcadeserviciodeApple Inc.iTunesStoreesunamarcadeserviciodeAppleInc.,registradaenEE.UU.yenotrospases.Otrosnombresdeproductosyempresasmencionadosenelpresentedocumentopuedensermarcascomercialesdesusrespectivascompaas.Lasespecificacionesdel productoestnsujetasacambiossinprevioaviso.Estedocumentoseproporcionaconfinesmeramenteinformativos;Applerenuncia acualquierresponsabilidadrelacionadaconsuuso.Marzode2011 L422502B-ES