Usar funciones de seguridad de red integradas en dispositivos Apple
Los dispositivos Apple incluyen tecnologías de seguridad de red integradas que autorizan a los usuarios y ayudan a proteger sus datos durante la transmisión. La compatibilidad de seguridad de red en dispositivos Apple incluye:
IPsec, IKEv2 y L2TP integrados
VPN personalizada mediante apps de App Store (iOS, iPadOS y visionOS)
VPN personalizada mediante clientes de VPN de terceros (macOS)
Seguridad en la capa de transporte (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) y DTLS
SSL/TLS con certificados X.509
WPA/WPA2/WPA3 Empresa con 802.1X
Autenticación mediante certificado
Secreto compartido y autenticación Kerberos
RSA SecurID, CRYPTOCard (macOS)
Retransmisiones de redes en iOS, iPadOS, macOS y tvOS
Se puede usar una retransmisión integrada en iOS 17, iPadOS 17, macOS 14 y tvOS 17 (o versiones posteriores) para asegurar el tráfico mediante una conexión HTTP/3 o HTTP/2 encriptada como VPN alternativa. Una retransmisión de red es un tipo especial de proxy optimizado para el rendimiento y que usa los protocolos de seguridad y transporte más recientes. Se puede usar para asegurar el tráfico TCP y UDP de una app en particular, un dispositivo completo y en el acceso a recursos internos. Se pueden usar varias retransmisiones de red en paralelo, incluida la Retransmisión privada de iCloud, sin requerir de apps. Para obtener más información, consulta Usar retransmisiones de red.
VPN y IPsec
Muchos entornos empresariales tienen algún tipo de red privada virtual (VPN). Estos servicios de VPN suelen requerir una preparación mínima y una configuración para funcionar con dispositivos Apple, que integran muchas de las tecnologías de VPN utilizadas habitualmente.
iOS, iPadOS, macOS, tvOS, watchOS y visionOS son compatibles con los protocolos y métodos de autenticación IPsec. Para obtener más información, consulta Resumen de VPN.
TLS
El protocolo criptográfico SSL 3 y el paquete de encriptación simétrico RC4 se dejaron de usar en iOS 10 y macOS 10.12. De forma predeterminada, los servidores o clientes TLS implementados con las API de Secure Transport no cuentan con paquetes de encriptación RC4 habilitados, por lo que no pueden conectarse cuando solo hay paquetes de encriptación RC4 disponibles. Para garantizar una mayor seguridad, los servicios o apps que requieran el uso de RC4 deben actualizarse para permitir el uso de paquetes de encriptación.
Las mejoras de seguridad adicionales que se aplican son las siguientes:
Se requiere una firma para conexiones SMB (macOS)
En macOS 10.12 y versiones posteriores, se incluye compatibilidad con AES como método de encriptación para NFS kerberizado (macOS)
Transport Layer Security (TLS 1.2, TLS 1.3)
TLS 1.2 es compatible con AES 128 y SHA-2.
SSL 3 (iOS, iPadOS y visionOS)
DTLS (macOS)
Safari, Calendario, Mail y otras apps de Internet los utilizan para activar un canal de comunicación encriptada entre iOS, iPadOS, macOS y visionOS y los servicios corporativos.
También puedes establecer la versión de TLS mínima y máxima para tu carga de red 802.1X con EAP-TLS, EAP-TTLS, PEAP y EAP-FAST. Por ejemplo, puedes definir:
Ambos como la misma versión específica de TLS
La versión mínima de TLS como un valor inferior y la versión máxima de TLS como un valor superior, que entonces se negociaría con el servidor RADIUS
Ninguna versión, en cuyo caso se permitiría que el solicitante 802.1X negocie la versión de TLS con el servidor RADIUS
iOS, iPadOS, macOS y visionOS requieren que el certificado de hoja del servidor se firme empleando la familia SHA-2 de algoritmos de firma, y que se use o bien una clave RSA de al menos 2048 bits, o bien una clave ECC de al menos 256 bits.
iOS 11, iPadOS 13.1, macOS 10.13 y visionOS 1.1 o posterior son compatibles con la autenticación 802.1X con TLS 1.2. Puede que los servidores de autenticación compatibles con TLS 1.2 requieran las siguientes actualizaciones de compatibilidad:
Cisco: ISE 2.3.0
FreeRADIUS: actualización a las versiones 2.2.10 y 3.0.16.
ClearPass de Aruba: actualización a la versión 6.6.x.
ArubaOS: actualización a la versión 6.5.3.4.
Microsoft: Windows Server 2012 (servidor de políticas de redes).
Microsoft: Windows Server 2016 (servidor de políticas de redes).
Para obtener más información sobre 802.1X, consulta Conectar dispositivos Apple a redes 802.1X.
WPA2/WPA3
Todas las plataformas de Apple son compatibles con los protocolos estándar de la industria de autenticación y encriptado de Wi-Fi para proporcionar acceso autenticado y confidencialidad al conectarse a las siguientes redes inalámbricas seguras:
WPA2 Personal
WPA2 Enterprise
WPA2/WPA3 Transitional
WPA3 Personal
WPA3 Enterprise
WPA3 Enterprise (seguridad de 192 bits)
Para ver una lista de los protocolos de autenticación inalámbrica 802.1X, consulta Configuraciones 802.1X para Mac.
Ocultar y bloquear apps
En iOS 18 y iPadOS 18 o versiones posteriores, los usuarios pueden requerir Face ID, Touch ID o un código para abrir una app y para ocultarla de la pantalla de inicio. La solución de MDM puede administrar la disponibilidad de estas opciones al:
Controlar la habilidad del usuario para ocultar y bloquear las apps administradas de forma individual
Deshabilitar la opción para ocultar y bloquear todas las apps en los dispositivos supervisados
Para los dispositivos inscritos con el perfil Inscripción de usuarios, las apps ocultas se reportan a la solución MDM sólo si son administradas. Para los dispositivos inscritos con el perfil Inscripción de dispositivos, las apps ocultas se reportan a la solución MDM como parte de todas las apps instaladas.
Acceso a la red local para macOS
En macOS 15 o versiones posteriores, una app de terceros o un agente de inicio que quiera interactuar con dispositivos de la red local de un usuario deberá pedir permiso la primera vez que intente explorar la red local.
Al igual que en iOS y iPadOS, los usuarios pueden ir a Configuración del Sistema > Privacidad > Red local para permitir o denegar este acceso.
Encriptación de FaceTime y iMessage
iOS, iPadOS, macOS y visionOS crean un identificador exclusivo para cada usuario de FaceTime y iMessage, lo que ayuda a asegurarse de que las comunicaciones se encripten, enruten y conecten adecuadamente.