Charla impartida por Juan Miguel Aguayo, de la empresa Informática 64 para el evento Asegur@itCamp4! que tuvo lugar durante los días 26, 27 y 28 de Octubre de 2012 en El Escorial, Madrid.
3. iOS en el entorno corporativo
Contents at a glance
Bloque I: Introducción.
Bloque II: Perfiles de configuración.
Bloque III: Distribución de perfiles y despliegue.
4. iOS en el entorno corporativo
Contents
Introducción
Evolución de los dispositivos móviles y tendencias.
Introducción de iOS en el mundo corporativo.
Tipos de dispositivos.
Peligros y amenazas.
Perfiles de configuración.
¿Qué son?
Parámetros configurables.
Tools.
Distribución de perfiles.
Posibilidades de distribución.
Mobile Device Management (MDM).
7. Introducción
Mega Trends
Más del 30% de uso de los smartphones en el espacio de la empresa.
Smartphones y tablets son los SO dominantes.
Habrá más de 10.000 millones de trabajadores móviles en 2013.
“Consumerization of IT” o “BYOD” afecta a:
Deparmentos de IT.
Operadores.
Fabricantes de dispositivos.
8. Introducción
Consumerization of IT
La nube.
Facebook.
Linkedin.
Skype.
Google.
Mail.
MySpace.
…
9.
10. Introducción
Introducción de iOS en la empresa
Los dispositivos iOS han ido ganando mucha popularidad.
Empresas de tendencias, ¿dependen de “amiguismos”?, pero dan
una idea de por donde van los tiros…
11.
12. Introducción
Tipos de dispositivos iOS en la empresa
Los dispositivos iOS han ido ganando mucha popularidad.
El índice de penetración de los iDevices está aumentando de manera
considerable, más aún si se compara con otros SO móviles.
Dos posibilidades en el entorno corporativo:
Corporativos: La empresa compra, distribuye y gestiona
completamente los dispositivos que van a acceder a información
sensible de la compañía.
BYOD: Permitir acceso con los iDevices de los propios empleados.
15. Introducción
Peligros, amenazas y nuevos retos
Hay que evaluar y sopesar las ventajas y los nuevos riesgos de seguridad
que presentan estos dispositivos.
Cualquier dispositivo puede extraviarse, perderse, o ser robado.
Desde el momento que los iDevices acceden a info corporativa sensible, o
simplemente la almacenen, hay un riesgo de que dicha información pueda ser
recuperada o que caiga en malas manos.
Hay que poner medios para protegerse
ante estos nuevos riesgos, es decir,
configurar los terminales con políticas de
empresa.
16. Introducción
Peligros, amenazas y nuevos retos
Aparecen nuevos peligros, amenazas, pero todo no es tan malo…
Pero también surgen nuevas e interesantes opciones para optimizar y
mejorar el negocio.
Las apps corporativas ofrecen un
alto ROI.
Mejoran el rendimiento, fluidez
en las comunicaciones, trabajo
remoto, y muchas cosas más (muchas
aún por venir)…
18. Perfiles de Configuración
Protección ante amenazas: Políticas Corporativas
Para protegerse ante estos nuevos peligros y amenazas emergentes en el
entorno corporativo con iOS, hay que utilizar Perfiles de Configuración.
Dichos perfiles sirven para asegurarse de que los dispositivos cumplen
con la política de seguridad de la empresa.
Para crear y gestionar perfiles de configuración, con un número elevado
de dispositivos, es necesario un Sistema de Gestión de Dispositivos Móviles,
conocido como Mobile Device Management (MDM) service/system.
Se puede utilizar el sistema MDM de Apple (Lion’s Server Profile
Manager) o utilizar un sistema MDM de terceros.
19. Perfil de Configuración
¿Qué es?
Un perfil de configuración, es un fichero plist (XML Property List),
típicos en sistemas operativos de Apple, que almacena los valores en base64.
Los perfiles de configuración pueden ser firmados o cifrados, de manera
opcional, acorde al RFC 3852 Cryptographic Message Syntax (CMS). Esta
opción es fundamental si el perfil contiene datos sensible, como contraseñas
Wi-Fi o de usuario. Esto lo realiza automáticamente el sistema MDM.
Perfil de configuración:
Metadatos.
Payload.
20. Perfil de Configuración
¿Qué se configura?
La mayoría de opciones que se configuran en un perfil de configuración
aparecen en Configuración General (General Settings) del dispositivo.
Algunas configuraciones están sólo disponibles en el perfil de
configuración, mientras que otras están sólo en el General Settings.
SÓLO son configurables de manera centralizada las opciones que
aparecen en el perfil de configuración.
Véase la lista de parámetros u opciones a configurar en la siguiente
transparencia.
21. Perfil de Configuración
Tools: iPhone Configuration Utility (iPCU)
Para crear y gestionar perfiles de configuración, Apple proporciona Apple
proporciona la Utilidad de Configuración de iPhone (iPhone Configuration
Utility), que es la forma más fácil crear y gestionar perfiles, y que además es
gratuita.
Es una herramienta gratuita y disponible para Windows y Mac OS X.
La última versión es la 3.5, que cubre las nuevas actualizaciones de iOS.
La herramienta de por sí sola, no es todo lo útil que se desea, ya que es
necesario un sistema MDM, para distribuir los perfiles de configuración
creados (sino sólo por USB!).
22. Perfil de Configuración
Tools: iPhone Configuration Utility
Windows: http://support.apple.com/kb/DL1466
Mac OS X: http://support.apple.com/kb/DL1465
23. Perfil de Configuración
Creación perfil: Metadatos
El perfil contiene datos obligatorios, que son los metadatos, es decir, la
parte de información del perfil, para que los usuarios/empleados que vayan a
utilizarlo, sepan que configuraciones contiene, etc.
Los datos a rellenar son:
nombre del perfil,
identificador del perfil,
nombre de la empresa,
descripción del perfil,
y la seguridad del perfil.
24. Perfil de Configuración
Creación perfil: Metadatos - Seguridad del Perfil
Al perfil de configuración se le puede establecer el nivel de seguridad, es
decir, si puede ser eliminado o no, y bajo que condiciones.
Las tres opciones presentes son:
Siempre.
Con autorización.
Nunca.
Además se podría eliminar el perfil de las siguientes maneras.
Jailbreak (eliminando el perfil directamente del sistema de ficheros).
Comando de wipeo de iCloud’s Find my iPhone.
Comando de wipeo de ActiveSync.
Comando de wipeo de MDM.
25. Perfil de Configuración
Creación perfil: Payloads
Zero configuration payloads.
Diferentes tipos de payloads:
Política passcode. Clips Web.
Restricciones. Credenciales (x.509).
Wi-Fi. SCEP.
VPN. Gestión de disp. móviles.
Correo electrónico, Exchange. Nombre Punto Acceso (APN).
LDAP.
CalDAV, CardDAV.
Calendarios suscritos.
26. Perfil de Configuración
Tipos de Payloads: ¿Qué se configura?
Apple’s iOS Configuration Profile Key Reference
27. Perfil de Configuración
Documentación de Apple en Español
http://www.apple.com/ipad/business/
28. Perfil de Configuración
Documentación de Apple en Español
http://www.apple.com/ipad/business/
30. Perfil de Configuración
Instalación perfil con iPCU
El perfil de configuración se puede instalar de tres maneras distintas:
Por USB.
Por correo electrónico.
Vía web.
Esto se puede realizar ya que iPCU crea un certificado autofirmado y
actúa como CA, y crea un certificado para cada dispositivo conectado.
33. Gestión, Distribución, Despliegue
MDM: Tecnologías
iOS es compatible con MDM, lo que permite a las empresas gestionar
implantaciones ampliables de iDevices en sus organizaciones.
Las funciones de gestión MDM se basan en las tecnologías actuales de
iOS, como por ejemplo:
Perfiles de configuración (Configuration Profiles).
Inscripción inalámbrica (Over the Air Enrollment).
APNS (Apple Push Notification Service).
Se pueden integrar con soluciones propias o de terceros (Via In-
House / Third Party Server solutions).
34. Gestión, Distribución, Despliegue
MDM: Arquitectura
La comunicación de red en un sistema MDM, consta de 3 partes:
Dispositivos iOS de los usuarios.
APNS (Apple Push Notification Service).
El servidor MDM.
35. Gestión, Distribución, Despliegue
MDM: Funcionamiento
El servidor MDM se comunica con el servidor APNS
(gateway.push.apple.com), para publicar notificaciones push que sean
recibidas en los iDevices.
Los iDevices mantienen una conexión persistente con APNS
(courier.push.apple.com), que es el canal centralizado para todas las
notificaciones push en iOS.
Cuando los iDevices reciben una notificación push, establecen una
conexión directa con el servidor MDM, que sirve la API MDM sobre HTTPs.
Más info del protocolo MDM en: “Inside the MDM Black Box” Black
Hat USA 2011
Apple Push Notification Service Programming Guide
36. Gestión, Distribución, Despliegue
MDM: Distribución y despliegue
Se puede utilizar como sistema de distribución:
USB (iPCU o Apple Configurator)? No para empresas con muchos...
El sistema MDM de Apple (Lion’s Server Profile Manager).
Un sistema MDM de terceros.
http://www.enterpriseios.com/
40. Gestión, Distribución, Despliegue
MDM: Third Parties?
Hay una laarga lista de sistemas MDM de terceros.
Hay que realizar comparativa entre unos y otros, y estudiar cual se adapta
mejor a nuestras necesidades.
Largas listas de características…
Son capaces de gestionar flotas de dispositivos de diversas plataformas.
Consultar lista de MDMs en: http://www.enterpriseios.com/
42. Gestión, Distribución, Despliegue
MDM: Third Parties = Symantec
Algunas proveen de packages para Windows, Mac OS X, Linux y otros
sólo para Mac, además de app de gestión para los iDevices:
43. Gestión, Distribución, Despliegue
Conclusiones
Se han presentado dos opciones principales para realizar la gestión de
dispositivos iOS en la empresa.
La primera es iPCU, que es una opción mucho más fácil y rápida, pero
NO sirve para un alto número de dispositivos.
La segunda opción es un sistema MDM, como Lions’s server Profile
Configuration, que es mucho mejor solución empresarial, y además ofrece
funcionalidades adicionales como wipeo o bloqueo remoto, o eliminación del
passcode.
46. AseguraIT Camp 4
iOS en la empresa
Juan Miguel Aguayo Sánchez
jmaguayo@informatica64.com
Editor's Notes
Transparencias realizadas por Juan Miguel Aguayo Sánchez de Informática64 S.L.iOS en el entorno corporativo, para el AseguraIT Camp 4. Última actualización: 27/Oct/2012http://www.celularis.com/3gsm/mobile-world-congress-2012-claves/