Utilizar las funciones integradas de seguridad de red para los dispositivos Apple
Los dispositivos Apple incluyen tecnologías de seguridad de red integradas que autorizan a los usuarios y ayudan a proteger sus datos durante la transmisión. La compatibilidad con la seguridad de red de los dispositivos Apple incluye lo siguiente:
IPsec, IKEv2 y L2TP integrados
Apps de VPN personalizadas mediante App Store (iOS, iPadOS, visionOS)
VPN personalizada mediante clientes VPN de terceros (macOS),
Seguridad en la capa de transporte (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) y DTLS,
SSL/TLS con certificados X.509,
WPA/WPA2/WPA3 Enterprise con 802.1X,
Autenticación mediante certificado,
Secreto compartido y autenticación Kerberos.
SecurID de RSA y CRYPTOCard (macOS).
Transmisores de red en iOS, iPadOS, macOS y tvOS
Es posible utilizar un transmisor integrado en iOS 17, iPadOS 17, macOS 14, tvOS 17, o posterior, para proteger el tráfico mediante una conexión HTTP/3 o HTTP/2 encriptada como una VPN alternativa. Un transmisor de red es un tipo especial de proxy optimizado para el rendimiento y utiliza los protocolos de transporte y seguridad más recientes. Puede utilizarse para proteger el tráfico TCP y UDP de una app concreta, un dispositivo entero y al acceder a los recursos internos. Pueden utilizarse varios transmisores de red en paralelo, incluido el relay privado de iCloud, sin necesidad de ninguna app. Para obtener más información, consulta Usar transmisores de red.
VPN e IPsec
Muchos entornos empresariales tienen algún tipo de red privada virtual (VPN). Estos servicios de VPN suelen requerir una preparación mínima y una configuración para funcionar con dispositivos Apple, que integran muchas de las tecnologías de VPN utilizadas habitualmente.
iOS, iPadOS, macOS, tvOS, watchOS y visionOS admiten los protocolos y métodos de autenticación IPsec. Para obtener más información, consulta Visión general de la VPN.
TLS
El protocolo criptográfico SSL 3 y el paquete de encriptación simétrico RC4 se dejaron de usar en iOS 10 y macOS 10.12. Por omisión, los servidores o clientes TLS implementados con las API de Secure Transport no tienen habilitados los paquetes de encriptación RC4. Por este motivo, no pueden conectarse cuando RC4 es el único paquete de encriptación disponible. Para garantizar una mayor seguridad, los servicios o apps que requieran el uso de RC4 deben actualizarse para permitir el uso de paquetes de encriptación.
Las mejoras de seguridad adicionales son las siguientes:
Firma de las conexiones SMB requerida (macOS)
En macOS 10.12 y las versiones posteriores admiten AES como método de encriptación para NFS kerberizado (macOS).
Seguridad en la capa de transporte (TLS 1.2, TLS 1.3).
TLS 1.2 es compatible con AES 128 y SHA-2.
SSL 3 (iOS, iPadOS, visionOS)
DTLS (macOS).
Safari, Calendario, Mail y otras apps de internet los utilizan para activar un canal de comunicación encriptada entre iOS, iPadOS, macOS y visionOS, y los servicios corporativos.
También puedes definir la versión de TLS mínima y máxima para tu carga útil de red 802.1X con EAP-TLS, EAP-TTLS, PEAP y EAP-FAST. Por ejemplo, puedes definir:
Ambos como la misma versión específica de TLS
La TLSMinimumVersion en un valor inferior y la TLSMaxmimumVersion en un valor superior, que entonces se negociaría con el servidor RADIUS
Ninguna versión, en cuyo caso se permitiría que el solicitante 802.1X negocie la versión de TLS con el servidor RADIUS
iOS, iPadOS, macOS y visionOS requieren que el certificado de hoja del servidor se firme empleando la familia SHA-2 de algoritmos de firma, y que se use o bien una clave RSA de al menos 2048 bits, o bien una clave ECC de al menos 256 bits.
iOS 11, iPadOS 13.1, macOS 10.13, visionOS 1.1, o posterior, permiten la autenticación 802.1X con TLS 1.2. Puede que los servidores de autenticación compatibles con TLS 1.2 requieran las siguientes actualizaciones de compatibilidad:
Cisco: ISE 2.3.0
FreeRADIUS: Actualización a las versiones 2.2.10 y 3.0.16.
ClearPass de Aruba: Actualización a la versión 6.6.x.
ArubaOS: Actualización a la versión 6.5.3.4.
Microsoft: Windows Server 2012 (servidor de directivas de redes).
Microsoft: Windows Server 2016 (servidor de directivas de redes).
Para obtener más información sobre 802.1X, consulta Conectar dispositivos Apple a redes 802.1X).
WPA2/WPA3
Todas las plataformas de Apple admiten protocolos de autenticación y encriptación Wi-Fi estándares para ofrecer acceso con autenticación y confidencialidad al conectarse a las siguientes redes inalámbricas seguras:
WPA2 Personal
WPA2 Enterprise
WPA2/WPA3 de transición
WPA3 Personal
WPA3 Enterprise
WPA3 Enterprise (seguridad de 192 bits)
Para ver una lista de los protocolos de autenticación inalámbricos 802.1X, consulta Configuraciones de 802.1X para Mac.
Ocultar y desbloquear apps
En iOS 18 y iPadOS 18, o posterior, los usuarios pueden solicitar Face ID, Touch ID o un código para abrir una app y ocultarla de la pantalla de inicio. MDM puede gestionar la disponibilidad de estas opciones de dos maneras distintas:
Controlando la capacidad de un usuario de ocultar y bloquear apps gestionadas de manera individual
Desactivando la ocultación y el bloqueo de todas las apps en los dispositivos supervisados
Para los dispositivos inscritos con la inscripción de usuario, en el informe de las apps instaladas que recibe MDM se incluyen las ocultas solo si están gestionadas. Para los dispositivos inscritos con la inscripción de dispositivo, MDM recibe un informe con todas las apps instaladas, incluidas las apps ocultas.
Acceso a redes locales para macOS
En macOS 15 o posterior, las apps o agentes de lanzamiento de terceros que quieran interactuar con los dispositivos de la red local de un usuario deben solicitar permiso la primera vez que intenten navegar por ella.
Al igual que en iOS y iPadOS, los usuarios pueden ir a Ajustes del Sistema > Privacidad > “Red local” para permitir o denegar este acceso.
Encriptación de FaceTime y iMessage
iOS, iPadOS, macOS y visionOS crean un identificador exclusivo para cada usuario de FaceTime y iMessage, lo que ayuda a garantizar que las comunicaciones se encripten, enruten y conecten adecuadamente.