Ejemplos de despliegue El iPhone y el iPad en la empresa - Apple

Ejemplos de despliegue
El iPhone y el iPad
en la empresa
Octubre de 2011
Aprende cómo el iPhone y el iPad se integran a la perfección en entornos corporativos
con los siguientes ejemplos de despliegue.
• Exchange ActiveSync de Microsoft
• Servicios basados en estándares
• Redes privadas virtuales
• Wi-Fi
• Certificados digitales
• Descripción de la seguridad
• Gestión de dispositivos móviles

Políticas de seguridad de
Exchange ActiveSync compatibles
• Borrado remoto
• Imposición de contraseña en dispositivo
• Longitud mínima de contraseña
• Máximo de errores en contraseña (antes
del borrado local)
• Requerir contraseña con números y letras
• Tiempo de inactividad en minutos (de 1 a
60 minutos)
Otras políticas de Exchange ActiveSync
(solo para Exchange 2007 y 2010)
• Permitir o prohibir contraseñas simples
• Caducidad de contraseñas
• Historial de contraseñas
• Intervalo de actualización de políticas
• Número mínimo de caracteres complejos
en una contraseña
• Requerir sincronización manual en itinerancia
• Permitir usar la cámara
• Permitir navegar por Internet
Despliegue del iPhone
y el iPad
Exchange ActiveSync
El iPhone y el iPad se pueden comunicar directamente con tu servicio Exchange Server
de Microsoft a través de Exchange ActiveSync (EAS) de Microsoft, y ofrecer al usuario
correo electrónico, contactos, calendarios y tareas de actualización automática push.
Exchange ActiveSync también permite al usuario acceder a la lista global de direcciones
(GAL) y ofrece al administrador funciones de borrado remoto y de imposición de
políticas de contraseñas. iOS es compatible con la autenticación básica y por certificado
de Exchange ActiveSync. Si la empresa utiliza Exchange ActiveSync, ya dispone de los
servicios necesarios para integrar el iPhone y el iPad. No hace falta configurar nada
más. Si dispones de Exchange Server 2003, 2007 o 2010, pero no tienes experiencia con
Exchange ActiveSync, repasa los siguientes pasos.
Configuración de Exchange ActiveSync
Descripción de la configuración de red
• Comprueba que el puerto 443 está abierto en el firewall o cortafuegos. Si tu empresa
admite Outlook Web Access, es muy probable que el puerto 443 ya esté abierto.
• En el servidor front-end, verifica que se ha instalado un certificado de servidor y que se
ha activado la seguridad SSL para el directorio virtual de Exchange ActiveSync en IIS.
• Si usas un servidor Internet Security and Acceleration (ISA) de Microsoft, comprueba que
se ha instalado un certificado de servidor y actualiza el DNS público para resolver las
conexiones entrantes.
• Comprueba que el DNS de tu red devuelve una única dirección externa enrutable al servidor
de Exchange ActiveSync, tanto para clientes de la intranet como de Internet. Esto
es necesario para que el dispositivo pueda usar la misma dirección IP para comunicarse
con el servidor cuando ambos tipos de conexión están activos.
• Si usas un servidor ISA de Microsoft, crea un agente de escucha y una regla de publicación
de acceso de cliente web de Exchange. En la documentación de Microsoft encontrarás
más información.
• Para todos los firewalls y dispositivos de red, ajusta el tiempo de desconexión por inactividad
a 30 minutos. Si deseas más información sobre los intervalos de latido e inactividad,
consulta la documentación de Exchange de Microsoft en http://technet.microsoft.
com/en-us/library/cc182270.aspx (en inglés).
• Configura las prestaciones móviles, las políticas y los ajustes de seguridad del dispositivo
mediante el Administrador del Sistema de Exchange. Para Exchange Server 2007 y 2010,
esto se hace en la Consola de Administración de Exchange.

Otros servicios de Exchange ActiveSync
• Consulta de la lista global de direcciones
• Aceptación y creación de invitaciones de
calendario
• Sincronización de tareas
• Etiquetado de mensajes de correo electrónico
• Sincronización de etiquetas de respuesta y
reenvío con Exchange Server 2010
• Búsqueda en correos con Exchange Server
2007 y 2010
• Compatibilidad con múltiples cuentas de
Exchange ActiveSync
• Autenticación basada en certificados
• Actualización push de correos electrónicos
en determinadas carpetas
• Detección Automática
• Descarga e instala la herramienta Mobile Administration Web Tool de Exchange
ActiveSync de Microsoft, necesaria para iniciar un borrado remoto. En Exchange Server
2007 y 2010, el borrado remoto se puede iniciar desde Outlook Web Access o con la
Consola de Administración de Exchange.
Autenticación básica (usuario y contraseña)
• Activa Exchange ActiveSync para usuarios y grupos específicos mediante el servicio
Active Directory. Se activan por defecto para todos los dispositivos móviles de la organización
en Exchange Server 2003, 2007 y 2010. Para Exchange Server 2007 y 2010, consulta
Configuración de Destinatarios en la Consola de Administración de Exchange.
• Por defecto, Exchange ActiveSync está configurado para la autenticación básica de
usuarios. Se recomienda activar la seguridad SSL para la autenticación básica con el fin
de garantizar que las credenciales se cifren durante la autenticación.
Autenticación basada en certificados
• Instala los servicios de certificados empresariales en un servidor de la red o en un controlador
de dominio en tu dominio (será el servidor de la autoridad certificadora).
• Configura IIS en tu servidor front-end de Exchange o en tu servidor Acceso de Clientes
para aceptar la autenticación basada en certificados para el directorio virtual de
Exchange ActiveSync.
• Para autorizar o requerir certificados para todos los usuarios, desmarca Autenticación
Básica y selecciona Aceptar Certificados de Cliente o Requerir Certificados de Cliente.
• Genera certificados de cliente mediante tu servidor de autoridad certificadora. Exporta
la clave pública y configura IIS para utilizar esta clave. Exporta la clave privada y usa
un perfil de configuración para enviarla al iPhone y al iPad. La autenticación basada en
certificados solo se puede configurar mediante un perfil de configuración.
Si deseas más información sobre los servicios de certificados, consulta los recursos disponibles
a través de Microsoft.
3

Ejemplo de despliegue de Exchange ActiveSync
Este ejemplo muestra cómo se conectan el iPhone y el iPad a una instalación estándar de Exchange Server 2003, 2007 o 2010
de Microsoft.
Perfil de configuración
1
2
3
4
5
6
Internet
Pasarela de correo o
servidor de transporte
perimetral*
Firewall Firewall
443
1
Clave privada
(certificado)
Servidor proxy
Servidor de cabeza de puente o
de transporte de concentradores
Servidor de certificados
Active Directory
Servidor front-end de Exchange
o de Acceso de Clientes
Buzón de correo de Exchange
o servidor(es) back-end
* En función de la configuración de red, la pasarela de correo externa o el servidor de transporte perimetral pueden residir dentro de la red del perímetro (DMZ).
Clave privada
(certificado)
El iPhone y el iPad solicitan acceso a los servicios de Exchange ActiveSync a través del puerto 443 (HTTPS). (Se trata del mismo puerto usado
por Outlook Web Access y otros servicios web seguros, así que en muchos casos este puerto ya estará abierto y configurado para permitir el
tráfico de HTTPS cifrado por SSL).
ISA facilita el acceso al servidor front-end de Exchange o al de Acceso de Clientes. ISA está configurado como un proxy o, en muchos casos,
como un proxy inverso para direccionar el tráfico al servidor de Exchange.
El servidor de Exchange autentica al usuario entrante mediante el servicio Active Directory y el servidor de certificados (si se usa la autenticación
basada en certificados).
Si el usuario aporta las credenciales apropiadas y tiene acceso a los servicios de Exchange ActiveSync, el servidor front-end establece una
conexión con el buzón de correo oportuno en el servidor back-end (a través del catálogo global de Active Directory).
Se establece la conexión con Exchange ActiveSync. Las actualizaciones o cambios se envían inalámbricamente y cualquier cambio realizado en
el iPhone y en el iPad se refleja a su vez en el servidor de Exchange.
Los correos enviados también se sincronizan con el servidor de Exchange a través de Exchange ActiveSync (paso 5). Para dirigir el correo electrónico
saliente a los destinatarios externos, el correo se envía por norma general a través de un servidor de cabeza de puente (o transporte de
concentradores) a una pasarela de correo externa (o servidor de transporte perimetral) a través de SMTP. En función de la configuración de red,
la pasarela de correo externa o el servidor de transporte perimetral pueden residir dentro de la red del perímetro o fuera del firewall.
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple, iPhone, iPad y Mac OS son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros países. Otros nombres de productos
y empresas mencionados en el presente documento pueden ser marcas comerciales de sus respectivas compañías. Las especificaciones de producto están sujetas a cambios sin previo aviso. Este
documento se proporciona con fines meramente informativos; Apple no asume ninguna responsabilidad relacionada con su uso. Octubre de 2011 L419822B
6
2
3
5
4
4

Puertos más habituales
• IMAP/SSL: 993
• SMTP/SSL: 587
• LDAP/SSL: 636
• CalDAV/SSL: 8443, 443
• CardDAV/SSL: 8843, 443
Soluciones de correo con protocolos
IMAP o POP
iOS admite las soluciones de correo
basadas en los protocolos IMAP4 y POP3
para una amplia gama de plataformas de
servidor, como Windows, UNIX, Linux y
Mac OS X.
Estándares CalDAV y CardDAV
iOS admite los protocolos de calendarios
CalDAV y de contactos CardDAV. El IETF ha
estandarizado ambos protocolos. El consorcio
CalConnect ofrece más información
en http://caldav.calconnect.org/ y
http://carddav.calconnect.org/.
Despliegue del iPhone
y el iPad
Servicios basados en
estándares
Como es compatible con el protocolo de correo IMAP, los servicios de directorio LDAP y
los protocolos de calendarios CalDAV y de contactos CardDAV, iOS puede integrarse en
casi cualquier entorno estándar de correo, calendarios y contactos. Si el entorno de red
está configurado para exigir la autenticación de usuario y emplear la seguridad SSL, el
iPhone y el iPad ofrecen un método seguro para acceder al correo, los calendarios, los
contactos y las tareas de la empresa basados en estándares.
En un despliegue convencional, el iPhone y el iPad establecen acceso directo a los servidores
de correo IMAP y SMTP para recibir y enviar correo electrónico de forma inalámbrica,
y también pueden sincronizar notas inalámbricamente con servidores basados en
el protocolo IMAP. Los dispositivos iOS se puede conectar a los directorios corporativos
LDAPv3 de la empresa, otorgando acceso a los usuarios a los contactos corporativos en
las aplicaciones Mail, Contactos y Mensajes. La sincronización con el servidor CalDAV
permite a los usuarios crear y aceptar invitaciones a calendarios, recibir actualizaciones
de calendarios y sincronizar tareas con la app Recordatorios, todo ello inalámbricamente.
Además, gracias a la compatibilidad con CardDAV, los usuarios pueden mantener un
grupo de contactos sincronizado con el servidor CardDAV empleando el formato vCard.
Todos los servidores de red se pueden ubicar en una subred DMZ, detrás de un firewall
corporativo o en ambos. Si se usa SSL, iOS admite el cifrado de 128 bits y los certificados
raíz X.509 de las principales entidades certificadoras.
Configuración de la red
El administrador de redes o TI deberá llevar a cabo estos pasos para activar el acceso del
iPhone y del iPad a los servicios IMAP, LDAP, CalDAV y CardDAV:
• Abrir los puertos correspondientes en el firewall. Los puertos habituales son el 993 para
el correo IMAP, el 587 para el correo SMTP, el 636 para los servicios de directorio LDAP,
el 8443 para los calendarios CalDAV y el 8843 para los contactos CardDAV. Además, se
recomienda que la comunicación entre el servidor proxy y los servidores back-end IMAP,
LDAP, CalDAV y CardDAV se configuren con la seguridad SSL activada, y que los certificados
digitales de los servidores de la red estén firmados por una entidad emisora (CA) de
confianza, como VeriSign. Este importante paso garantiza que el iPhone y el iPad reconozcan
el servidor proxy como una entidad de confianza en la infraestructura corporativa
del cliente.
• Para el correo SMTP saliente, se debe abrir el puerto 587, 465 o 25 para permitir el envío
de correo electrónico. iOS comprueba automáticamente el estado de esos puertos por
ese orden. El puerto 587 es el más fiable y seguro porque exige la autenticación del usuario.
El puerto 25 no requiere autenticación y algunos proveedores de servicios de Internet
lo bloquean por defecto para evitar el correo basura.

Ejemplo de despliegue
Este ejemplo muestra cómo se conectan el iPhone y el iPad a una instalación estándar de IMAP, LDAP, CalDAV y CardDAV.
1
2
3
4
5
6
Internet
Firewall Firewall
636
(LDAP)
8443
(CalDAV)
1
8843
(CardDAV)
993 (IMAP)
587 (SMTP)
Servidor proxy inverso
El iPhone y el iPad solicitan acceso a los servicios de red a través de los puertos designados.
En función del servicio, los usuarios deben autenticarse con el proxy inverso o bien directamente con el servidor para obtener
acceso a los datos corporativos. En todos los casos, las conexiones son retransmitidas por el proxy inverso, que funciona como
pasarela segura, normalmente detrás del firewall de Internet de la empresa. Una vez autenticado, el usuario accede a sus datos
corporativos en los servidores back-end.
El iPhone y el iPad ofrecen servicios de búsqueda en los directorios LDAP, de modo que los usuarios pueden buscar contactos y
otros datos de la agenda del servidor LDAP.
En el caso de los calendarios CalDAV, los usuarios pueden acceder a los calendarios y actualizarlos.
Servidor de directorio
LDAP
Servidor de correo
Los contactos CardDAV se almacenan en el servidor y se puede acceder a ellos localmente desde el iPhone y el iPad. Los cambios
en los campos de los contactos CardDAV se sincronizan con el servidor CardDAV.
En el caso de los servicios de correo IMAP, los mensajes existentes y nuevos se pueden leer desde el iPhone y el iPad mediante la
conexión proxy con el servidor de correo. El correo saliente se envía al servidor SMTP y se guardan copias en la carpeta Enviado
del usuario.
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple, iPhone, iPad y Mac OS son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros países. UNIX es una marca comercial
registrada de The Open Group. Otros nombres de productos y empresas mencionados en el presente documento pueden ser marcas comerciales de sus respectivas compañías. Las especificaciones de
producto están sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple no asume ninguna responsabilidad relacionada con su uso. Octubre de 2011
L419827B
2
3
4
5
6
Servidor CalDAV
Servidor CardDAV
6

Despliegue del iPhone
y el iPad
Redes privadas virtuales
El iPhone y el iPad ofrecen acceso seguro a redes corporativas privadas mediante protocolos
de redes privadas virtuales (VPN) estándar del sector. Los usuarios se pueden conectar
fácilmente a los sistemas empresariales mediante el cliente de VPN integrado en iOS o
a través de aplicaciones de terceros de Juniper, Cisco y F5 Networks.
iOS es compatible de serie con IPSec de Cisco, L2TP sobre IPSec y PPTP. Si tu organización
admite uno de estos protocolos, no necesitas ningún otro tipo de configuración ni aplicaciones
de terceros para conectar el iPhone y el iPad a tu VPN.
Además, iOS es compatible con redes VPN sobre SSL, lo que permite acceder a servidores
VPN sobre SSL de la serie SA de Juniper, ASA de Cisco y BIG-IP Edge Gateway de F5. Para
ello, basta con descargar en el App Store una aplicación cliente de VPN desarrollada por
Juniper, Cisco o F5. Al igual que el resto de protocolos de VPN de iOS, el acceso a redes
VPN sobre SSL se puede configurar manualmente en el dispositivo o mediante un perfil
de configuración.
iOS admite tecnologías estándar como IPv6, servidores proxy y túneles divididos, por lo
que ofrece una excelente experiencia de VPN al conectarse a redes empresariales.
Además, es compatible con diversos métodos de autenticación, como el uso de contraseñas,
tokens de doble factor y certificados digitales. Con el fin de optimizar la conexión
en entornos en los que se usa la autenticación basada en certificados, iOS incluye VPN
por petición, que inicia dinámicamente una sesión de VPN al conectarse a determinados
dominios.
Protocolos y métodos de autenticación admitidos
VPN sobre SSL
Es compatible con la autenticación de usuario por contraseña, token de doble factor y
certificados.
IPSec de Cisco
Es compatible con la autenticación de usuario por contraseña, token de doble factor,
autenticación automática mediante secreto compartido y certificados.
L2TP sobre IPSec
Es compatible con la autenticación de usuario por contraseña MS-CHAP v2, token de
doble factor, autenticación automática mediante secreto compartido y certificados.
PPTP
Admite la autenticación del usuario mediante MS-CHAP v2 Password y token de doble
factor.

VPN bajo demanda
Para las configuraciones que empleen la autenticación basada en certificados, iOS ofrece
VPN bajo demanda. VPN bajo demanda puede establecer una conexión automáticamente
cuando se acceda a dominios predeterminados, lo que permite a los usuarios
conectarse a redes VPN fácilmente.
Esta prestación de iOS no requiere configurar nada más en el servidor. La configuración
de VPN bajo demanda se realiza mediante un perfil de configuración o manualmente
en el dispositivo.
Las opciones de VPN bajo demanda son:
Siempre
Inicia una conexión VPN para cualquier dirección que coincide con el dominio especificado.
Nunca
No inicia una conexión VPN para las direcciones que coinciden con el dominio especificado,
pero si la VPN ya está activa, se puede usar.
Establecer Si Es Necesario
Inicia una conexión VPN para las direcciones que coinciden con el dominio especificado,
pero solo cuando una consulta de DNS haya fallado.
Configuración de VPN
• iOS se integra en muchas de las redes VPN actuales con una configuración mínima. La
mejor forma de preparar el despliegue consiste en comprobar la compatibilidad de iOS
con los protocolos de VPN y los métodos de autenticación presentes en la empresa.
• Se recomienda revisar la ruta de autenticación al servidor de autenticación para asegurarse
de que los estándares admitidos por iOS están activados en la instalación
en cuestión.
• Si tienes la intención de usar un sistema de autenticación basado en certificados, comprueba
que tu infraestructura de clave pública está configurada para admitir certificados
de usuario y de dispositivo con los correspondientes procesos de distribución
de claves.
• Si quieres configurar los ajustes de proxy específicos para una URL, coloca un archivo
PAC en un servidor web accesible con los ajustes de VPN básicos y asegúrate de que
está alojado con el tipo de MIME application/x-ns-proxy-autoconfig.
Configuración del proxy
También puedes especificar un proxy de VPN para todas las configuraciones. Para configurar
un único proxy para todas las conexiones, usa el ajuste Manual e introduce la
dirección, el puerto y la autenticación, si es preciso. Para proporcionar al dispositivo un
archivo de configuración auto-proxy con PAC o WPAD, usa el ajuste Automático. Para
PACS, especifica la URL del archivo PACS. Para WPAD, el iPhone y el iPad solicitarán a
DHCP y DNS los ajustes oportunos.
8

Ejemplo de despliegue
Este ejemplo ilustra un despliegue convencional con un servidor/concentrador de VPN, además de un servidor de autenticación para
el control del acceso a los servicios de red de la empresa.
1
2
3
4
5
6
Autenticación
Certificado o token
Internet público
Firewall Firewall
3a 3b
El iPhone y el iPad solicitan acceso a los servicios de red.
Servidor de autenticación de VPN
Generación de token o autenticación mediante certificado
2
1 4
Servidor/concentrador VPN
Servidor proxy
El servidor/concentrador de VPN recibe la solicitud y se la pasa al servidor de autenticación.
5
Servicio de
directorio
Red privada
En un entorno de token de doble factor, el servidor de autenticación administra la generación de una clave de token sincronizada temporalmente
con el servidor de claves. Si se ha implantado un método de autenticación con certificado, antes de la autenticación debe enviarse un
certificado de identidad. Si se ha implantado un método de contraseña, el proceso de autenticación pasa a validar al usuario.
Una vez autenticado el usuario, el servidor de autenticación valida las políticas de usuarios y grupos.
Una vez validadas las políticas de usuarios y grupos, el servidor VPN ofrece acceso cifrado y por túnel a los servicios de red.
Si se usa un servidor proxy, el iPhone y el iPad se conectan a través del servidor proxy para acceder a información ubicada fuera del firewall.
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple, iPhone, iPad y Mac OS son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros países. App Store es una
marca de servicio de Apple Inc. Otros nombres de productos y empresas mencionados en el presente documento pueden ser marcas comerciales de sus respectivas compañías. Las especificaciones de
producto están sujetas a cambios sin previo aviso. Este documento se proporciona con fines meramente informativos; Apple no asume ninguna responsabilidad relacionada con su uso. Octubre de
2011 L419828B
9

Protocolos de seguridad en redes inalámbricas
• WEP
• WPA Personal
• WPA Enterprise
• WPA2 Personal
• WPA2 Enterprise
Métodos de autenticación 802.1X
• EAP-TLS
• EAP-TTLS
• EAP-FAST
• EAP-SIM
• PEAPv0 (EAP-MS-CHAP v2)
• PEAPv1 (EAP-GTC)
• LEAP
Despliegue del iPhone
y el iPad
Wi-Fi
De serie, el iPhone y el iPad se conectan de forma segura a redes Wi-Fi corporativas o
de invitados, lo que permite acceder a redes inalámbricas disponibles de forma rápida y
sencilla, ya se esté en las instalaciones de la empresa o trabajando sobre el terreno.
iOS admite protocolos estándar de redes inalámbricas, incluido WPA2 Enterprise, lo
que permite configurar redes inalámbricas corporativas rápidamente y acceder a ellas
de forma segura. WPA2 Enterprise emplea cifrado AES de 128 bits, un método basado
en bloques ampliamente acreditado que ofrece el máximo nivel de seguridad para los
datos del usuario.
iOS es compatible con 802.1X y puede integrarse en un amplio abanico de entornos de
autenticación RADIUS. Entre los métodos de autenticación inalámbrica 802.1X que admiten
el iPhone y el iPad se encuentran EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0,
PEAPv1 y LEAP.
Los usuarios pueden configurar el iPhone y el iPad para que accedan automáticamente
a las redes Wi-Fi disponibles. Se puede acceder rápidamente a las redes Wi-Fi que
requieren credenciales de inicio de sesión u otra información sin necesidad de abrir
una sesión de navegador aparte, desde los ajustes Wi-Fi o con aplicaciones como Mail.
Además, la conectividad Wi-Fi persistente de bajo consumo permite a las aplicaciones
usar las redes Wi-Fi para enviar notificaciones push.
Para acelerar la configuración y el despliegue, los ajustes de redes inalámbricas, seguridad,
proxy y autenticación se pueden establecer mediante perfiles de configuración.
Configuración de WPA2 Enterprise
• Comprueba la compatibilidad de los dispositivos de red y selecciona un tipo de autenticación
(tipo de EAP) admitido por iOS.
• Comprueba que el protocolo 802.1X está activado en el servidor de autenticación y, si es
preciso, instala un certificado de servidor y asigna permisos de acceso a la red a usuarios
y grupos.
• Configura puntos de acceso inalámbrico para la autenticación 802.1X e introduce la
información del correspondiente servidor RADIUS.
• Si tienes la intención de usar un sistema de autenticación basado en certificados, comprueba
que la infraestructura de clave pública está configurada para admitir certificados
de usuario y de dispositivo con los correspondientes procesos de distribución de claves.
• Comprueba la compatibilidad del formato del certificado y del servidor de autenticación.
iOS admite PKCS1 (.cer, .crt y .der) y PKCS12.
• Si deseas documentación adicional sobre estándares de redes inalámbricas y Acceso
Protegido a Wi-Fi (WPA), visita www.wi-fi.org.

Ejemplo de despliegue con WPA2 Enterprise/802.1X
Este ejemplo ilustra un despliegue convencional de una red inalámbrica segura estándar que aprovecha la autenticación RADIUS.
1
2
3
4
Certificado o contraseña
basados
en tipo de EAP
1
Servidor de autenticación
compatible con 802.1X (RADIUS)
Punto de acceso
inalámbrico
compatible con 802.1X
El iPhone y el iPad solicitan acceso a la red. La conexión se inicia cuando un usuario selecciona una red inalámbrica disponible, o bien de forma
automática cuando se detecta una red configurada previamente.
Después de llegar al punto de acceso, la solicitud se remite al servidor RADIUS para su autenticación.
El servidor RADIUS valida la cuenta del usuario empleando el servicio de directorio.
2
Firewall
Servicios de directorio
Servicios de red
Cuando el usuario está autenticado, el punto de acceso ofrece acceso a la red aplicando las políticas y los permisos indicados por el servidor
RADIUS.
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple, iPhone, iPad y Mac OS son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros países. Otros nombres de
productos y empresas mencionados en el presente documento pueden ser marcas comerciales de sus respectivas compañías. Las especificaciones de producto están sujetas a cambios sin previo aviso.
Este documento se proporciona con fines meramente informativos; Apple no asume ninguna responsabilidad relacionada con su uso. Octubre de 2011 L419830B
3
4
11

Formatos de identidad y certificado
admitidos:
• iOS admite los certificados X.509
con claves RSA.
• Reconoce las extensiones de archivo
.cer, .crt, .der, .p12 y .pfx.
Certificados raíz
De serie, iOS incluye diversos
certificados raíz preinstalados. Si deseas
consultar una lista de estos certificados, lee
el artículo de Soporte de Apple que encontrarás
en http://support.apple.com/kb/
HT4415?viewlocale=es_ES. Si usas un certificado
raíz que no está preinstalado, como
un certificado raíz autofirmado creado por
tu empresa, puedes distribuirlo mediante
uno de los métodos enumerados en la sección
«Distribuir e instalar certificados» de
este documento.
Despliegue del iPhone
y el iPad
Certificados digitales
iOS admite certificados digitales, lo que permite a los usuarios de empresa acceder de
forma segura y optimizada a servicios corporativos. Los certificados digitales están compuestos
por una clave pública e información sobre el usuario y sobre la entidad emisora
del certificado. Los certificados digitales son una forma de identificarse que optimiza la
autenticación, la integridad de los datos y el cifrado.
En el iPhone y el iPad, los certificados se pueden usar de varias maneras. La firma de
datos con un certificado digital ayuda a garantizar que la información no pueda ser
modificada. Los certificados también sirven para garantizar la identidad del autor o «firmante».
Además, se pueden usar para cifrar perfiles de configuración y comunicaciones
de red con el fin de aumentar la protección de información confidencial o privada.
Usar certificados en iOS
Certificados digitales
Los certificados digitales sirven para autenticar de forma segura a usuarios de servicios
corporativos sin necesidad de emplear nombres de usuario, contraseñas ni tokens por
software. En iOS, la autenticación basada en certificados se usa para acceder a servidores
de Exchange ActiveSync de Microsoft y a redes VPN y Wi-Fi.
Entidad certificadora
Solicitud de autenticación
Servicios empresariales
Intranet, correo electrónico, VPN, Wi-Fi
Servicio de
directorio
Certificados de servidor
Los certificados digitales también se pueden usar para validar y cifrar comunicaciones de
redes. Esto ofrece una comunicación segura, tanto con sitios web internos como externos.
El navegador Safari puede comprobar la validez de un certificado digital X.509 y
configurar una sesión segura con cifrado AES de hasta 256 bits. Así se verifica la legitimidad
de la identidad del sitio y se garantiza la protección de la comunicación con el sitio
web para ayudar a evitar la interceptación de datos personales o confidenciales.
Solicitud HTTPS Servicios de red
Entidad certificadora

Distribuir e instalar certificados
Distribuir certificados al iPhone y al iPad es fácil. Cuando recibe un certificado, el usuario
solo tiene que tocarlo para ver su contenido y volver a tocar para añadir el certificado al
dispositivo. Al instalar un certificado de identidad, se solicita al usuario que introduzca la
contraseña que lo protege. Si no se puede verificar la autenticidad de un certificado, el
usuario recibe una alerta antes de añadirlo al dispositivo.
Instalar certificados mediante perfiles de configuración
Si se usan perfiles de configuración para distribuir los ajustes de los servicios corporativos,
como Exchange, VPN o Wi-Fi, los certificados se pueden añadir al perfil con el fin de
optimizar el despliegue.
Instalar certificados mediante Mail o Safari
Si se envía un certificado en un correo electrónico, se mostrará como un adjunto. Se
puede usar Safari para descargar certificados desde una página web. Puedes alojar un
certificado en un sitio web seguro y facilitar a los usuarios la URL desde la que pueden
descargar el certificado en sus dispositivos.
Instalación mediante el protocolo SCEP (Simple Certificate Enrollment
Protocol)
SCEP está diseñado para ofrecer un acceso simplificado para administrar la distribución
de certificados en despliegues a gran escala. Esto permite la inscripción inalámbrica de
certificados digitales en el iPhone y el iPad. Estos certificados se pueden utilizar para la
autenticación del acceso a servicios corporativos, y también para la inscripción en un
servidor de gestión de dispositivos móviles.
Si deseas más información sobre el protocolo SCEP y la inscripción inalámbrica, consulta
los recursos disponibles en www.apple.com/es/iphone/business/.
Revocación y eliminación de certificados
Para eliminar un certificado ya instalado manualmente, selecciona Ajustes > General >
Perfiles. Si eliminas un certificado necesario para acceder a una cuenta o red, el dispositivo
no podrá volver a conectarse a esos servicios.
Para eliminar certificados de forma inalámbrica se puede usar un servidor de gestión de
dispositivos móviles. Este servidor puede ver todos los certificados de un dispositivo y
eliminar los que tenga instalados.
Además, se admite el protocolo OCSP (protocolo de estado de los certificados en línea,
por sus siglas en inglés), que sirve para comprobar el estado de los certificados. Cuando
se usa un certificado que emplea OCSP, iOS lo valida para comprobar que no haya sido
revocado antes de completar la tarea solicitada.
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple, iPhone, iPad y Mac OS son marcas comerciales de
Apple Inc., registradas en EE. UU. y en otros países. Otros nombres de productos y empresas mencionados en el presente documento
pueden ser marcas comerciales de sus respectivas compañías. Las especificaciones de producto están sujetas a cambios sin
previo aviso. Este documento se proporciona con fines meramente informativos; Apple no asume ninguna responsabilidad relacionada
con su uso. Octubre de 2011 L419821B
13

Seguridad del dispositivo
• Contraseñas seguras
• Caducidad de contraseñas
• Historial de reutilización de contraseñas
• Número máximo de intentos fallidos
• Imposición inalámbrica de contraseñas
• Tiempo de espera progresivo para introducción
de contraseña
Despliegue del iPhone
y el iPad
Descripción de la seguridad
iOS, el sistema operativo en el que se basan el iPhone y el iPad, se ha creado sobre diversas
capas de seguridad. Esto permite que el iPhone y el iPad accedan de forma segura
a servicios corporativos y protejan datos importantes. iOS ofrece un sólido sistema de
cifrado de datos en tránsito, métodos de autenticación acreditados para acceder a servicios
empresariales y cifrado por hardware para los datos en reposo. iOS también ofrece
protección segura mediante el uso de políticas de contraseñas que se pueden diseñar
e imponer de forma inalámbrica. Además, si el dispositivo cayese en malas manos, los
usuarios y los administradores de TI pueden enviar una orden de borrado remoto para
garantizar que la información privada se borra.
Cuando nos planteamos la seguridad de iOS para su uso en empresas, es útil comprender
lo siguiente:
• Seguridad del dispositivo: métodos que impiden el uso no autorizado del dispositivo.
• Seguridad de datos: máxima protección de los datos, incluso si el dispositivo se pierde o
lo roban.
• Seguridad de red: protocolos de red y cifrado de los datos en tránsito.
• Seguridad de las apps: fundamentos de la plataforma segura de iOS.
Estas funciones se combinan para ofrecer una plataforma informática móvil segura.
Seguridad del dispositivo
Es importante establecer políticas de acceso estrictas al iPhone y al iPad para proteger la
información de la empresa. La contraseña de dispositivo es la primera línea de defensa
contra usos no autorizados, y se puede configurar e imponer de forma inalámbrica. iOS
emplea la contraseña exclusiva determinada por cada usuario para generar una clave de
cifrado fuerte con la que proteger en mayor medida el correo y los datos confidenciales
de las aplicaciones del dispositivo. Además, iOS proporciona métodos seguros para configurar
el dispositivo en entornos empresariales, donde se deben aplicar ciertos ajustes,
políticas y restricciones. Estos métodos proporcionan opciones flexibles para establecer
un nivel de protección estándar para los usuarios autorizados.
Políticas de contraseñas
El uso de contraseña en el dispositivo impide que los usuarios sin autorización accedan a
los datos o incluso al dispositivo. iOS permite elegir entre un amplio conjunto de requisitos
para contraseñas con los que satisfacer las necesidades de seguridad, como periodos
de inactividad, fortaleza de contraseñas y caducidad.
Se ofrecen las siguientes políticas de contraseña:
• Solicitar Código en el Dispositivo
• Permitir Valor Simple
• Requerir Valor Alfanumérico
• Longitud Mínima del Código
14

Políticas y restricciones
configurables admitidas:
Funcionalidad del Dispositivo
• Permitir Instalar Aplicaciones
• Permitir Siri
• Permitir Usar la Cámara
• Permitir FaceTime
• Permitir Captura de Pantalla
• Permitir Sincronización Automática en
Itinerancia
• Permitir Marcación por Voz
• Permitir Compras desde Aplicaciones
• Pedir al Usuario que Escriba la Contraseña de
iTunes Store para todas las Compras
• Permitir Modo Multijugador
• Permitir Añadir Amigos de Game Center
Aplicaciones
• Permitir el Uso de YouTube
• Permitir el Uso de iTunes Store
• Permitir el Uso de Safari
• Definir preferencias de seguridad de Safari
iCloud
• Permitir Copia de Seguridad
• Permitir la Sincronización de Documentos/
Permitir la Sincronización de Clave-Valor
• Permitir Fotos en Streaming
Seguridad y Privacidad
• Permitir el Envío de Datos de Diagnóstico a
Apple
• Permitir al Usuario Aceptar Certificados TLS no
Fiables
• Forzar Copias de Seguridad Encriptadas
Clasificaciones del Contenido
• Permitir Música y Podcasts Explícitos
• Región de las Clasificaciones
• Clasificaciones de los Contenidos Permitidas
• Número Mínimo de Caracteres Complejos
• Periodo Máximo de Validez del Código
• Bloqueo Automático
• Historial de Códigos
• Periodo de Gracia para el Bloqueo del Dispositivo
• Número Máximo de Intentos Fallidos
Imposición de políticas
Las políticas descritas arriba se pueden configurar en el iPhone y el iPad de diversas
maneras. Las políticas también pueden distribuirse como parte de un perfil de configuración
que puedan instalar los usuarios. El perfil se puede definir de modo que solo se
pueda borrar con una contraseña de administrador, o para que esté ligado al dispositivo
y solo se pueda borrar si se borra todo el contenido del equipo. Además, los ajustes de
contraseñas se pueden configurar de forma remota mediante soluciones de gestión de
dispositivos móviles (MDM), capaces de transmitir las políticas directamente al dispositivo.
Esto permite imponer y actualizar las políticas sin que el usuario deba hacer nada.
Opcionalmente, si el dispositivo está configurado para acceder a una cuenta de Exchange
de Microsoft, las políticas de Exchange ActiveSync se remiten de forma inalámbrica al
dispositivo. Recuerda que el conjunto disponible de políticas depende de la versión de
Exchange (2003, 2007 o 2010). En la documentación sobre Exchange ActiveSync y los
dispositivos iOS encontrarás un desglose de las políticas admitidas para tu configuración
específica.
Configuración segura del dispositivo
Los perfiles de configuración son archivos XML que contienen las políticas de seguridad
y restricciones del dispositivo, la información de la configuración de la red VPN, los
ajustes Wi-Fi y las cuentas de correo electrónico y calendarios, así como las credenciales
de autenticación que permiten que el iPhone y el iPad funcionen con los sistemas de la
empresa. La posibilidad de establecer políticas de contraseñas y ajustes de dispositivo
con un perfil de configuración garantiza que los dispositivos de la empresa estén correctamente
configurados y respeten los estándares de seguridad establecidos por la organización.
Como los perfiles de configuración se pueden cifrar y bloquear, los ajustes no se
pueden eliminar, modificar ni compartir con otros usuarios.
Los perfiles de configuración se pueden firmar y cifrar. La firma de un perfil de configuración
garantiza que no se puedan modificar los ajustes que establece. El cifrado de un
perfil de configuración protege su contenido y solo permite su instalación en el dispositivo
para el que fue creado. Los perfiles de configuración se cifran con CMS (Cryptographic
Message Syntax, RFC 3852), y se admiten los algoritmos 3DES y AES 128.
La primera vez que se distribuye un perfil de configuración cifrado, se instala mediante
sincronización USB empleando la utilidad de configuración, o bien mediante inscripción
inalámbrica. Además de estos métodos, la distribución posterior de perfiles de configuración
cifrados se puede realizar mediante adjuntos de correo electrónico, alojándolos en
un sitio web accesible para los usuarios, o bien enviándolos al dispositivo mediante soluciones
de gestión de dispositivos móviles.
Restricciones del dispositivo
Las restricciones de dispositivo determinan qué prestaciones están disponibles para
los usuarios. Normalmente se aplican a programas con conexión a la Red, como Safari,
YouTube o el iTunes Store, pero las restricciones también pueden controlar cosas como
la instalación de aplicaciones o el uso de la cámara. Las restricciones permiten configurar
el dispositivo en función de los requisitos de cada empresa, de modo que los usuarios lo
empleen de acuerdo con las prácticas de la organización. Las restricciones pueden configurarse
en cada dispositivo de forma manual, imponerse con un perfil de configuración
o establecerse a distancia con soluciones de gestión de dispositivos móviles. Además, al
15

Seguridad de datos
• Cifrado por hardware
• Protección de datos
• Borrado remoto
• Borrado local
• Perfiles de configuración cifrados
• Copias de seguridad de iTunes cifradas
Tiempo de espera progresivo para introducción
de código
El iPhone y el iPad se pueden configurar para
iniciar automáticamente un borrado tras varios
intentos fallidos de introducción de la contraseña.
Si un usuario introduce repetidamente
la contraseña incorrecta, iOS se bloqueará
durante periodos cada vez más prolongados.
Tras un número determinado de intentos fallidos,
se borrarán todos los datos y ajustes del
dispositivo.
igual que las políticas de contraseñas, las restricciones relacionadas con la cámara o la
navegación web se pueden imponer inalámbricamente mediante Exchange Server 2007
o 2010 de Microsoft.
Aparte de las restricciones de ajustes y políticas del dispositivo, la aplicación para equipos
de mesa iTunes se puede configurar y controlar desde el departamento de TI. Esto
incluye el bloqueo del acceso a contenido explícito, la definición de los servicios de red
disponibles desde iTunes y la autorización para instalar actualizaciones de programas. Si
deseas más información, consulta Desplegar iTunes en dispositivos iOS.
Seguridad de los datos
Proteger los datos almacenados en el iPhone y el iPad es importante en cualquier entorno
con información delicada sobre la empresa o sus clientes. Además de cifrar los datos
transmitidos, el iPhone y el iPad ofrecen cifrado por hardware para los datos almacenados
en el dispositivo, y cifrado adicional de correos electrónicos y datos de aplicaciones
con un nivel de protección de datos superior.
Si un dispositivo se extravía o es objeto de hurto, es importante desactivarlo y borrar su
contenido. También es buena idea instaurar una política que borre el dispositivo tras un
número determinado de intentos fallidos de introducción de la contraseña, lo cual supone
una medida disuasoria para evitar el intento de acceso no autorizado al dispositivo.
Cifrado
El iPhone y el iPad ofrecen cifrado por hardware. El cifrado por hardware emplea la
codificación AES de 256 bits para proteger todos los datos del dispositivo. El cifrado está
siempre activado, y el usuario no lo puede desactivar.
Además, los datos guardados con la copia de seguridad de iTunes en el ordenador del
usuario se pueden cifrar. Esto puede ser activado por el usuario o impuesto mediante los
ajustes de restricción del dispositivo de los perfiles de configuración.
iOS admite S/MIME en el correo, de modo que el iPhone y el iPad pueden ver y enviar
mensajes de correo electrónico cifrados. También se pueden aplicar restricciones para
evitar que los mensajes de correo electrónico sean traspasados entre cuentas o que los
mensajes recibidos por una cuenta sean reenviados a otra.
Protección de datos
Como complemento a las funciones de cifrado por hardware del iPhone y el iPad, los
mensajes de correo electrónico y los adjuntos almacenados en el dispositivo se pueden
salvaguardar en mayor medida mediante las prestaciones de protección de datos integradas
en iOS. La protección de datos emplea la contraseña exclusiva del dispositivo del
usuario en combinación con el cifrado por hardware del iPhone y el iPad para generar
una clave de cifrado sólida. Esta clave evita el acceso a los datos cuando el dispositivo
está bloqueado, lo que garantiza que la información crucial esté segura incluso si el dispositivo
no lo está.
Para activar la prestación de protección de datos, solo es necesario establecer una contraseña
en el dispositivo. La eficacia de la protección de datos depende de una contraseña
sólida, por lo que es importante exigir e imponer una contraseña más fuerte que las
de cuatro dígitos al establecer las políticas de contraseñas de la empresa. Los usuarios
pueden comprobar si la protección de datos está activada en su dispositivo consultando
la pantalla de ajustes de contraseña. Las soluciones de gestión de dispositivos móviles
también permiten solicitar esta información al dispositivo.
Estas API de protección de datos también están a disposición de los desarrolladores, y se
pueden usar para salvaguardar los datos de aplicaciones comerciales o internas.
16

Seguridad de red
• Compatibilidad integrada con VPN
IPSec de Cisco, L2TP y PPTP
• VPN sobre SSL mediante apps del App
Store
• SSL/TLS con certificados X.509
• WPA/WPA2 Enterprise con 802.1X
• Autenticación basada en certificados
• RSA SecureID y CRYPTOCard
Protocolos de VPN
• IPSec de Cisco
• L2TP/IPSec
• PPTP
• VPN sobre SSL
Métodos de autenticación
• Contraseña (MSCHAPv2)
• RSA SecurID
• CRYPTOCard
• Certificados digitales X.509
• Secreto compartido
Protocolos de autenticación 802.1X
• EAP-TLS
• EAP-TTLS
• EAP-FAST
• EAP-SIM
• PEAP v0, v1
• LEAP
Formatos de certificado admitidos
iOS admite los certificados X.509
con claves RSA. Reconoce las extensiones de
archivo cer, .crt y .der.
Borrado remoto
iOS admite el borrado remoto. En caso de robo o extravío de un dispositivo, el administrador
o propietario puede emitir una orden de borrado remoto que elimina
todos sus datos y lo desactiva. Si el dispositivo está configurado con una cuenta de
Exchange, el administrador puede iniciar una orden de borrado remoto desde la
Consola de Administración de Exchange (Exchange Server 2007) o desde Exchange
ActiveSync Mobile Administration Web Tool (Exchange Server 2003 o 2007). Los usuarios
de Exchange Server 2007 también pueden dar la orden de borrado remoto directamente
con Outlook Web Access. Las órdenes de borrado remoto también se pueden
iniciar desde soluciones de gestión de dispositivos móviles (MDM), aun cuando no se
usen servicios corporativos de Exchange.
Borrado local
Los dispositivos también pueden configurarse para iniciar un borrado local automáticamente
tras varios intentos fallidos de introducción de la contraseña. Esto protege
contra los intentos de forzar el acceso al dispositivo. Cuando se establece una contraseña,
los usuarios tienen la posibilidad de activar directamente el borrado local desde los
ajustes del dispositivo. Por omisión, iOS borra el dispositivo automáticamente después
de 10 intentos fallidos de introducción de la contraseña. Como con otras políticas de
contraseñas, el número máximo de intentos fallidos se puede establecer mediante un
perfil de configuración, con un servidor MDM o de forma inalámbrica con políticas de
Exchange ActiveSync de Microsoft.
iCloud
iCloud almacena varios tipos de contenido, como música, fotos, apps, calendarios y
documentos, y lo actualiza automáticamente en todos los dispositivos del usuario
mediante tecnología push. iCloud también hace copias de seguridad diarias y por
Wi-Fi de diversa información, como ajustes del dispositivo, datos de apps y mensajes
de texto y MMS. iCloud protege tu contenido cifrándolo cuando se envía por Internet,
almacenándolo en un formato cifrado y usando tokens seguros para la autenticación.
Además, las prestaciones de iCloud, como Fotos en Streaming, Sincronización de
Documentos y Copia de Seguridad, se pueden desactivar mediante un perfil de configuración.
Si deseas más información sobre la seguridad y privacidad de iCloud, visita
http://support.apple.com/kb/HT4865?viewlocale=es_ES.
Seguridad de red
Los usuarios que se desplazan a menudo necesitan poder acceder a las redes de información
corporativa desde cualquier lugar del mundo, pero también es importante
garantizar que los usuarios estén autorizados y que los datos estén protegidos durante
su transmisión. iOS ofrece tecnologías acreditadas que permiten cumplir estos objetivos
de seguridad tanto para conexiones a redes Wi-Fi como de telefonía móvil.
Además de tu infraestructura, todas las conversaciones de FaceTime y iMessage están
cifradas de punto a punto. iOS crea un identificador exclusivo para cada usuario, garantizando
que las comunicaciones se cifren, dirijan y conecten adecuadamente.
VPN
Muchos entornos empresariales tienen algún tipo de red privada virtual (VPN). Estos
servicios seguros de red ya están desplegados y normalmente requieren una configuración
mínima para funcionar con el iPhone y el iPad.
iOS se integra de serie en una amplia gama de tecnologías VPN ampliamente utilizadas,
ya que es compatible con IPSec de Cisco, L2TP y PPTP, así como con tecnologías
de VPN sobre SSL de Juniper, Cisco y F5 Networks. La compatibilidad con estos protocolos
garantiza el máximo nivel de cifrado por IP para la transmisión de información
confidencial.
17

Seguridad de las apps
• Protección en tiempo de ejecución
• Firma obligatoria del código
• Servicios de llavero
• Las API de CommonCrypto
• Protección de datos de aplicaciones
Además de permitir el acceso seguro a entornos VPN existentes, iOS ofrece métodos
acreditados para la autenticación de usuarios. La autenticación mediante certificados
digitales X.509 estándar ofrece al usuario un acceso optimizado a los recursos de la
empresa y constituye una alternativa viable a los tokens por hardware. Además, la
autenticación con certificado permite a iOS aprovechar las ventajas de VPN por petición,
con lo que el proceso de autenticación VPN es transparente sin dejar de ofrecer
un acceso identificado sólido a los servicios de red. Para entornos empresariales en los
que se exige un token de doble factor, iOS se integra con RSA SecurID y CRYPTOCard.
iOS admite la configuración de proxy de red, así como túnel IP dividido, de modo que
el tráfico a dominios de red públicos o privados es remitido en función de las políticas
de la empresa.
SSL/TLS
iOS admite SSL v3 y también Transport Layer Security (TLS v1.0, 1.1 y 1.2), el estándar de
seguridad de última generación para Internet. Safari, Calendario, Mail y otras aplicaciones
de Internet inician automáticamente estos mecanismos para establecer un canal
de comunicación cifrada entre iOS y los servicios corporativos.
WPA/WPA2
iOS admite WPA2 Enterprise para ofrecer acceso autenticado a la red inalámbrica de
la empresa. WPA2 Enterprise utiliza cifrado AES de 128 bits, que ofrece a los usuarios
las máximas garantías de que sus datos estarán protegidos al enviar y recibir comunicaciones
a través de la conexión a una red Wi-Fi. Además, como el iPhone y el iPad
son compatibles con 802.1X, pueden integrarse en un amplio abanico de entornos de
autenticación RADIUS.
Seguridad de las apps
iOS está íntegramente desarrollado para ofrecer la máxima seguridad. Incluye un sistema
de «enjaulado» para la protección en tiempo de ejecución de las aplicaciones y
requiere que estén firmadas para garantizar que no hayan sido manipuladas. Además,
iOS tiene un entorno protegido que facilita el almacenamiento seguro de credenciales
de aplicaciones y de servicios de red en un llavero cifrado. Para los desarrolladores,
ofrece una arquitectura de cifrado común que puede usarse para cifrar depósitos de
datos de aplicaciones.
Protección en tiempo de ejecución
Las aplicaciones del dispositivo están «enjauladas», de modo que no pueden acceder a
datos almacenados por otras aplicaciones. Además, los archivos, los recursos y el kernel
del sistema están aislados del espacio para aplicaciones del usuario. Si una aplicación
necesita acceder a datos de otra aplicación, solo puede hacerlo usando las API y los
servicios ofrecidos por iOS. También se impide la generación de código.
Firma obligatoria del código
Todas las aplicaciones de iOS deben ir firmadas. Las aplicaciones incluidas de serie en
el dispositivo están firmadas por Apple. Las de terceros están firmadas por el desarrollador
usando un certificado emitido por Apple. Así se garantiza que las aplicaciones
no hayan sido manipuladas ni modificadas. Además, se realizan comprobaciones en
tiempo de ejecución para garantizar que una aplicación no haya dejado de ser de confianza
desde su última utilización.
El uso de aplicaciones personalizadas o internas se puede controlar con un perfil de
datos. Los usuarios deben tener este perfil instalado para poder ejecutar la aplicación
en cuestión. Los perfiles de datos se pueden instalar o revocar inalámbricamente
mediante soluciones de MDM. Los administradores también pueden limitar el uso de
una aplicación en dispositivos específicos.
18

Entorno de autenticación seguro
iOS proporciona un llavero cifrado seguro donde guardar identidades digitales, nombres
de usuario y contraseñas. Los datos del llavero se compartimentan para que las
credenciales guardadas por programas de terceros no puedan ser utilizadas por programas
con una identidad diferente. Esto constituye el mecanismo para proteger las
credenciales de autenticación del iPhone y el iPad en una amplia gama de aplicaciones
y servicios de la empresa.
Arquitectura CommonCrypto
Los desarrolladores de aplicaciones tienen acceso a diversas API de cifrado que pueden
usar para reforzar la protección de los datos de sus aplicaciones. Los datos se
pueden cifrar simétricamente mediante métodos acreditados, como AES, RC4 o 3DES.
Además, el iPhone y el iPad ofrecen aceleración por hardware para el cifrado AES y el
hash SHA1, lo que optimiza el rendimiento de las aplicaciones.
Protección de datos de aplicaciones
Las aplicaciones también pueden hacer uso del cifrado por hardware integrado en el
iPhone y el iPad para proteger en mayor medida sus datos confidenciales. Los desarrolladores
pueden designar archivos específicos para la protección de datos e indicar
al sistema que cifre los contenidos del archivo para hacerlos inaccesibles, tanto para la
aplicación como para cualquier posible intruso cuando el dispositivo está bloqueado.
Apps gestionadas
Un servidor MDM puede gestionar apps de terceros del App Store, así como aplicaciones
internas de la empresa. Al designar una app como gestionada, se permite que el
servidor especifique si la app y sus datos se pueden eliminar del dispositivo mediante
el servidor MDM. Además, el servidor puede impedir que los datos de las apps gestionadas
se incluyan en copias de seguridad de iTunes y iCloud. Esto permite al equipo
de TI gestionar las apps que pueden contener información confidencial de la empresa
de forma más controlada que las apps descargadas por el usuario.
Para instalar una app gestionada, el servidor MDM envía un comando de instalación al
dispositivo. Las apps gestionadas deben ser aceptadas por el usuario antes de ser instaladas.
Si deseas más información sobre las apps gestionadas, consulta el documento
de descripción general de la gestión de dispositivos móviles en www.apple.com/iphone/business/integration/mdm
(en inglés).
Dispositivos revolucionarios y seguros por los cuatro costados
El iPhone y el iPad ofrecen protección cifrada de datos en tránsito, en reposo y en las
copias de seguridad de iCloud y iTunes. Cuando un usuario accede al correo electrónico
corporativo, visita un sitio web privado o se autentica en la red empresarial, iOS
garantiza que solo los usuarios autorizados puedan acceder a la información confidencial
de la empresa. Además, gracias a su compatibilidad con las redes empresariales y
a sus completos métodos de prevención de pérdida de datos, iOS se puede implantar
con la tranquilidad que supone emplear un sistema de seguridad de dispositivos móviles
y protección de datos plenamente acreditado.
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple, FaceTime, iPad, iPhone, iTunes y Safari son marcas
comerciales de Apple Inc., registradas en EE. UU. y en otros países. iCloud y iTunes Store son marcas de servicio de Apple Inc.,
registradas en EE. UU. y en otros países. App Store es una marca de servicio de Apple Inc. Los demás nombres de productos y
empresas mencionados en este documento son marcas comerciales de sus respectivas compañías. Las especificaciones de producto
están sujetas a cambios sin previo aviso. Octubre de 2011 L422500B
19

Despliegue del iPhone
y el iPad
Administración de dispositivos
móviles
iOS es compatible con la gestión de dispositivos móviles (MDM), lo que permite a las
empresas gestionar implantaciones ampliables del iPhone y el iPad en sus organizaciones.
Estas funciones de gestión de dispositivos móviles se basan en tecnologías ya
existentes en iOS, como los perfiles de configuración, la inscripción inalámbrica y el
servicio de notificación push de Apple, y se pueden integrar con soluciones de servidor
propias o de terceros. Esto permite a los departamentos de TI inscribir de forma
segura el iPhone y el iPad en un entorno empresarial, configurar y actualizar ajustes
inalámbricamente, supervisar el cumplimiento de las políticas corporativas e incluso
bloquear y borrar de forma remota los dispositivos gestionados.
Gestionar el iPhone y el iPad
La gestión de dispositivos iOS se lleva a cabo mediante una conexión con un servidor
de gestión de dispositivos móviles (MDM). El servidor puede ser instalado por el equipo
de TI o se puede comprar a un proveedor externo. El dispositivo se comunica con el
servidor para ver si hay tareas pendientes y responde con las acciones oportunas. Estas
tareas pueden incluir actualizar políticas, proporcionar la información solicitada sobre
el dispositivo o la red, o eliminar ajustes y datos.
Las funciones de gestión se realizan de forma transparente, sin necesidad de intervención
del usuario. Por ejemplo, si un departamento de TI actualiza la infraestructura de
su red VPN, el servidor MDM puede configurar el iPhone y el iPad con nuevos datos de
cuenta de forma inalámbrica. La próxima vez que el empleado use la red VPN, la configuración
correcta ya estará implantada, por lo que el usuario no necesitará llamar al
servicio de asistencia técnica ni modificar manualmente ningún ajuste.
Servicio de notificación
push de Apple
Firewall
Servidor MDM de terceros

iOS y el protocolo SCEP
iOS admite el protocolo SCEP (Simple
Certificate Enrollment Protocol). El SCEP es un
borrador de Internet del IETF. Está diseñado
para simplificar la distribución de certificados
en implantaciones a gran escala. Permite la inscripción
inalámbrica de certificados de identidad
en el iPhone y el iPad, que se pueden usar
para la autenticación en el acceso a servicios
corporativos.
MDM y el servicio de notificación push de Apple
Cuando un servidor MDM quiere comunicarse con un iPhone o un iPad, el servicio de
notificación push de Apple envía una notificación muda al dispositivo con la que se le
indica que se registre en el servidor. El proceso de notificación al dispositivo no envía
información privada al o desde el servicio de notificación push de Apple. La notificación
push se limita a despertar al dispositivo para que se registre en el servidor MDM.
Todos los datos de configuración, ajustes y consultas se envían directamente desde el
servidor al dispositivo iOS mediante una conexión SSL/TLS cifrada entre el dispositivo
y el servidor MDM. iOS procesa todas las acciones y peticiones de MDM en segundo
plano para limitar su repercusión en el usuario, incluida la batería, el rendimiento y la
fiabilidad.
Para que el servidor de notificación push reconozca los comandos del servidor MDM,
antes es preciso instalar un certificado en el servidor. Este certificado debe ser solicitado
y descargado en el portal de certificados push de Apple. Una vez subido el certificado
de notificaciones push de Apple al servidor MDM, se pueden inscribir los dispositivos.
Si deseas más información sobre los certificados de notificaciones push de Apple
para MDM, visita www.apple.com/iphone/business/integration/mdm/ (en inglés).
Configuración de la red para el servicio de notificación push de Apple
Cuando los servidores MDM y los dispositivos iOS están detrás de un firewall, es posible
que haya que configurar la red para que el servicio MDM funcione correctamente.
Para enviar notificaciones desde un servidor MDM al servicio de notificación push de
Apple, el puerto TCP 2195 debe estar abierto. Para conectar con el servicio de respuesta,
el puerto TCP 2196 también debe estar abierto. Para los dispositivos que se conectan
al servicio push por Wi-Fi, el puerto TCP 5223 debe estar abierto.
El rango de direcciones IP para el servicio push está sujeto a cambios; por norma general,
el servidor MDM se conectará usando su nombre de host, y no una dirección IP. El
servicio push usa un esquema de equilibrio de carga que genera una dirección IP distinta
para el mismo nombre de host. Este nombre de host es gateway.push.apple.com
(y gateway.sandbox.push.apple.com para el entorno de notificación push de desarrollo).
Además, el bloque entero de direcciones 17.0.0.0/8 está asignado a Apple, de modo
que se pueden establecer reglas de firewall para dicho rango.
Si deseas más información, consulta a tu proveedor de MDM o lee la nota técnica para
desarrolladores TN2265 disponible en la biblioteca para desarrolladores de iOS en
http://developer.apple.com/library/ios/#technotes/tn2265/_index.html (en inglés).
Inscripción
Una vez que están configurados el servidor de gestión de dispositivos móviles y la
red, el primer paso para gestionar el iPhone o el iPad es inscribir el dispositivo en el
servidor MDM. Esto crea una relación entre el dispositivo y el servidor, y permite que
el dispositivo sea gestionado bajo demanda sin que el usuario tenga que intervenir
después.
Esto puede hacerse conectando el iPhone o el iPad a un ordenador por USB, aunque la
mayoría de soluciones envían el perfil de inscripción inalámbricamente. Algunos proveedores
de MDM usan una app para iniciar el proceso, mientras que otros lo hacen
remitiendo a los usuarios a un portal web. Cada método tiene sus ventajas, y ambos se
utilizan para iniciar el proceso de inscripción inalámbrica mediante Safari.
21

Descripción del proceso de inscripción
El proceso de inscripción inalámbrica comprende varias fases que, combinadas en
un flujo de trabajo automatizado, ofrecen el método más ampliable para implantar
de forma segura los dispositivos en un entorno empresarial. Estas fases son:
1. Autenticación del usuario
La autenticación del usuario garantiza que las peticiones de inscripción entrantes
provengan de usuarios autorizados y que la información del dispositivo del usuario
sea recopilada antes de proceder a la inscripción del certificado. Los administradores
pueden solicitar al usuario que inicie el proceso de inscripción mediante un portal
web, un email, un SMS o incluso una app.
2. Inscripción del certificado
Una vez autenticado el usuario, iOS genera una petición de inscripción de certificado
mediante el protocolo SCEP (Simple Certificate Enrollment Protocol). Esta
petición de inscripción se comunica directamente con la autoridad certificadora (CA)
de la empresa y permite que el iPhone y el iPad reciban el certificado de identidad
remitido por la CA.
3. Configuración de dispositivos
Una vez instalado un certificado de identidad, el dispositivo puede recibir información
de configuración cifrada de forma inalámbrica. Esta información solo se puede
instalar en el dispositivo para el que se generó y contiene ajustes que permiten al
dispositivo conectarse al servidor de gestión de dispositivos móviles.
Al final del proceso de inscripción, se presentará al usuario una pantalla de instalación
que describe los derechos de acceso del servidor MDM con respecto al
dispositivo. Cuando el usuario acepte la instalación del perfil, el dispositivo quedará
automáticamente inscrito, sin necesidad de que el usuario vuelva a intervenir.
Una vez que el iPhone y el iPad están inscritos como dispositivos gestionados, el servidor
MDM puede configurar sus ajustes dinámicamente, consultarles información o
borrarlos de forma remota.
Configuración
Para configurar un dispositivo con cuentas, políticas y restricciones, el servidor MDM
envía al dispositivo archivos conocidos como perfiles de configuración, que se instalan
automáticamente. Los perfiles de configuración son archivos XML que contienen
ajustes que permiten que el dispositivo use los sistemas de la empresa. Estos datos
incluyen información de cuentas, políticas de contraseñas, restricciones y otros ajustes
del dispositivo. Cuando se combina con el proceso ya descrito de inscripción, la
configuración del dispositivo garantiza al departamento de TI que solo los usuarios
de confianza podrán acceder a los servicios corporativos, y que los dispositivos cumplirán
las políticas establecidas.
Como los perfiles de configuración se pueden firmar y cifrar, los ajustes no se pueden
modificar ni compartir con otros usuarios.
22

Ajustes configurables admitidos
Cuentas
• Exchange ActiveSync
• Correo electrónico IMAP/POP
• Wi-Fi
• VPN
• LDAP
• CardDAV
• CalDAV
• Calendarios suscritos
Políticas de contraseñas
• Solicitar Código en el Dispositivo
• Permitir Valor Simple
• Requerir Valor Alfanumérico
• Longitud Mínima del Código
• Número Mínimo de Caracteres Complejos
• Periodo Máximo de Validez del Código
• Bloqueo Automático
• Historial de Códigos
• Periodo de Gracia para el Bloqueo del
Dispositivo
• Número Máximo de Intentos Fallidos
Seguridad y Privacidad
• Permitir el Envío de Datos de Diagnóstico a
Apple
• Permitir al Usuario Aceptar Certificados TLS
no Fiables
• Forzar Copias de Seguridad Encriptadas
Otros ajustes
• Credenciales
• Clips web
• Ajustes de SCEP
• Ajustes de APN
Funcionalidad del Dispositivo
• Permitir Instalar Aplicaciones
• Permitir Siri
• Permitir Usar la Cámara
• Permitir FaceTime
• Permitir Captura de Pantalla
• Permitir Sincronización Automática en
Itinerancia
• Permitir Marcación por Voz
• Permitir Compras desde Aplicaciones
• Pedir al Usuario que Escriba la Contraseña
de iTunes Store para todas las Compras
• Permitir Modo Multijugador
• Permitir Añadir Amigos de Game Center
Aplicaciones
• Permitir el Uso de YouTube
• Permitir el Uso de iTunes Store
• Permitir el Uso de Safari
• Definir preferencias de seguridad de
Safari
iCloud
• Permitir Copia de Seguridad
• Permitir la Sincronización de
Documentos/Permitir la Sincronización de
Clave-Valor
• Permitir Fotos en Streaming
Clasificaciones del Contenido
• Permitir Música y Podcasts Explícitos
• Región de las Clasificaciones
• Clasificaciones de los Contenidos
Permitidas
23

Consultas a dispositivos
Además de configurar dispositivos, un servidor MDM puede consultar a los dispositivos
diversa información. Esta información puede utilizarse para comprobar que los dispositivos
siguen cumpliendo las políticas exigidas.
Consultas admitidas
Información del dispositivo
• Identificador único del dispositivo (UDID)
• Nombre del dispositivo
• Versión y compilación de iOS
• Número y nombre del modelo
• Número de serie
• Capacidad y espacio disponible
• IMEI
• Firmware del módem
• Nivel de la batería
Información de red
• ICCID
• Direcciones MAC de Bluetooth® y Wi-Fi
• Red del operador actual
• Red del operador del suscriptor
• Versión de los ajustes del operador
• Número de teléfono
• Ajuste de itinerancia de datos (activada/desactivada)
Gestión
Datos de seguridad y cumplimiento
• Perfiles de configuración instalados
• Certificados instalados con fecha de caducidad
• Lista de todas las restricciones impuestas
• Función de cifrado por hardware
• Código de acceso presente
Aplicaciones
• Aplicaciones instaladas (identificador,
nombre, versión, tamaño y volumen de
datos de la app)
• Perfiles de datos instalados con
fecha de caducidad
Cuando se usa una solución de gestión de dispositivos móviles, el servidor MDM
puede realizar varias acciones en los dispositivos iOS. Por ejemplo, puede instalar y eliminar
perfiles de configuración y de datos, gestionar apps, cancelar la relación de MDM
y borrar un dispositivo de forma remota.
Ajustes gestionados
Durante el proceso inicial de configuración del dispositivo, un servidor MDM envía
perfiles de configuración al iPhone y al iPad, y se instalan en segundo plano. Con el
tiempo, es posible que haya que actualizar o modificar los ajustes y las políticas que se
aplicaron en el momento de la inscripción. Para ello, un servidor MDM puede instalar
nuevos perfiles de configuración y modificar o eliminar los perfiles existentes en cualquier
momento. Además, puede que haya que instalar en los dispositivos iOS configuraciones
específicas para determinadas situaciones, en función de dónde se encuentre
el usuario o qué cargo tenga. Por ejemplo, si un usuario va a viajar al extranjero, un
servidor MDM puede requerir que las cuentas de correo se sincronicen manualmente,
en lugar de automáticamente. Un servidor MDM puede incluso desactivar de forma
remota los servicios de voz o datos para impedir que un proveedor de servicios inalámbricos
cargue a un usuario cuotas por itinerancia.
Apps gestionadas
Un servidor MDM puede gestionar apps de terceros del App Store, así como aplicaciones
internas de la empresa. El servidor puede eliminar por petición apps gestionadas y
sus correspondientes datos o especificar qué apps deben eliminarse cuando se quite el
perfil MDM. Además, el servidor MDM puede impedir que los datos de las apps gestionadas
se incluyan en copias de seguridad de iTunes y iCloud.
24

Para instalar una app gestionada, el servidor MDM envía un comando de instalación
al dispositivo del usuario. Las apps gestionadas deben ser aceptadas por el usuario
antes de ser instaladas. Cuando un servidor MDM solicita la instalación de una app
gestionada del App Store, la app se carga a la cuenta de iTunes usada en el momento
de la instalación de la app. Las apps de pago requerirán que el servidor MDM
envíe un código de canje del Programa de compras por volumen VPP). Si deseas
más información sobre el programa VPP, visita www.apple.com/business/vpp/ (en
inglés). No es posible instalar apps del App Store en el dispositivo de un usuario si
se ha desactivado el App Store.
Eliminar o borrar dispositivos
Un servidor MDM puede tomar medidas para proteger la información de la empresa
en diversas situaciones. Por ejemplo, en caso de robo o extravío de un dispositivo, si
se detecta un incumplimiento de la política interna o cuando un empleado abandona
la empresa.
Un administrador de TI puede cancelar la relación MDM con un dispositivo eliminando
el perfil de configuración que contiene la información del servidor MDM. De este
modo, se eliminan todas las cuentas, ajustes y apps que haya instalado el servidor.
Opcionalmente, el personal de TI puede dejar instalado el perfil de configuración
de MDM y usar la gestión de dispositivos móviles solo para eliminar determinados
perfiles de configuración, perfiles de datos y apps gestionadas. Con este enfoque, el
dispositivo sigue siendo gestionado por MDM y se evita tener que volver a inscribir
el dispositivo cuando deje de incumplir la política interna.
Ambos métodos dan al personal de TI la posibilidad de garantizar que la información
solo esté a disposición de los usuarios y dispositivos que cumplen la normativa,
y permite eliminar los datos empresariales sin afectar a los datos personales del
usuario, como la música, las fotos y las apps de uso personal.
Para eliminar permanentemente todos los medios y datos del dispositivo y restablecer
los ajustes por omisión, MDM puede borrar el iPhone y el iPad de forma remota.
Si un usuario está buscando su dispositivo, el personal de TI también puede enviar
al dispositivo un comando de bloqueo remoto. Este comando bloquea la pantalla y
exige la contraseña del dispositivo para desbloquearlo.
Si un usuario simplemente ha olvidado la contraseña, un servidor MDM puede
eliminarla del dispositivo y pedir al usuario que cree una nueva en un plazo de 60
minutos.
Comandos de gestión admitidos
Ajustes gestionados
• Instalación de perfiles de configuración
• Eliminación de perfiles de configuración
• Itinerancia de datos
• Itinerancia de voz (no disponible con todos los operadores)
Apps gestionadas
• Instalación de apps gestionadas
• Eliminación de apps gestionadas
• Lista de todas las apps gestionadas
• Instalación de perfiles de datos
• Eliminación de perfiles de datos
Comandos de seguridad
• Borrado remoto
• Bloqueo remoto
• Borrado de contraseña
25

Descripción del proceso
Este ejemplo ilustra un despliegue básico de un servidor de gestión de dispositivos móviles.
1
2
3
4
5
1
2
3
Servicio de notificación
push de Apple
5
Firewall
4
Servidor de MDM de terceros
Se envía al dispositivo un perfil de configuración que contiene los datos del servidor de gestión de dispositivos móviles. El usuario
recibe información sobre qué será administrado u objeto de consulta por parte del servidor.
El usuario instala el perfil para aceptar que el dispositivo sea gestionado.
La inscripción del dispositivo se realiza al instalar el perfil. El servidor valida el dispositivo y permite el acceso.
El servidor envía una notificación push que indica al dispositivo que se registre para llevar a cabo tareas o consultas.
El dispositivo se conecta directamente al servidor mediante HTTPS. El servidor envía comandos o solicita información.
Si quieres más información sobre la gestión de dispositivos móviles, visita www.apple.com/business/mdm (en inglés).
© 2011 Apple Inc. Todos los derechos reservados. Apple, el logotipo de Apple, FaceTime, iPad, iPhone, iTunes y Safari son marcas comerciales de Apple Inc., registradas en EE. UU. y en otros países. iCloud y
iTunes Store son marcas de servicio de Apple Inc., registradas en EE. UU. y en otros países. App Store es una marca de servicio de Apple Inc. La marca y los logotipos de Bluetooth son marcas comerciales de
Bluetooth SIG, Inc., y Apple dispone de licencia para usar dichas marcas. UNIX es una marca comercial registrada de The Open Group. Otros nombres de productos y empresas mencionados en el presente
documento pueden ser marcas comerciales de sus respectivas compañías. Las especificaciones de producto están sujetas a cambios sin previo aviso. Octubre de 2011 L422501B
26