Implementando iPhone e iPad Redes privadas virtuales
Transcripción
Implementando iPhone e iPad Redes privadas virtuales
Implementando iPhone e iPad Redes privadas virtuales El acceso seguro a redes privadas corporativas está disponible en el iPhone y el iPad mediante los protocolos VPN establecidos, habituales en la industria. Los usuarios pueden conectarse fácilmente a los sistemas empresariales a través del cliente VPN integrado en iOS o mediante aplicaciones de Juniper, Cisco y F5 Networks. Apenas lo sacas de la caja, iOS es compatible con Cisco IPSec, L2TP over IPSec y PPTP. Si tu organización emplea alguno de estos protocolos, no necesitas otra configuración de red o aplicaciones de terceros para conectar el iPhone y el iPad a tu VPN. Además, iOS es compatible con VPN SSL, que permite el acceso a los servidores de VPN SSL de Juniper SA Series, Cisco ASA y F5 BIG-IP Edge Gateway. Para empezar, los usuarios sólo tienen que descargar una aplicación de cliente VPN desarrollada por Juniper, Cisco o F5 desde el App Store. Al igual que otros protocolos VPN compatibles con iOS, SSL VPN puede ser configurado manualmente en el dispositivo o por medio de un perfil de configuración. iOS es compatible con las tecnologías estándar en la industria, tales como IPv6, servidores proxy y split-tunneling, proporcionando una rica experiencia de VPN para conectarse a redes corporativas. Además, iOS funciona con varios métodos de autenticación, incluyendo contraseñas, tokens de dos factores y certificados digitales. Para mejorar la conexión en entornos que utilizan la autenticación basada en certificados, iOS incluye VPN On Demand, que inicia dinámicamente una sesión de VPN para conectarse a dominios específicos. Protocolos y métodos de autenticación compatibles SSL VPN Es compatible con la autenticación de usuarios mediante contraseñas, tokens de dos factores y certificados. Cisco IPSec Es compatible con la autenticación de usuarios mediante contraseñas, tokens de dos factores y autenticación de máquinas por certificados y secreto compartido. L2TP over IPSec Es compatible con la autenticación de usuarios mediante contraseña MS-CHAP v2, tokens de dos factores y autenticación de máquinas por secreto compartido. PPTP Es compatible con la autenticación de usuarios mediante contraseña MS-CHAP v2 y tokens de dos factores. 2 VPN On Demand Para las configuraciones con autenticación basada en certificados, iOS es compatible con VPN On Demand, que establecerá una conexión automáticamente cuando se acceda a los dominios predefinidos, ofreciendo una excelente experiencia de conectividad VPN para los usuarios. Esta es una funcionalidad de iOS que no requiere otra configuración del servidor. La configuración de VPN On Demand se lleva a cabo a través de un perfil de configuración o puede ser configurada manualmente en el dispositivo. Las opciones de VPN On Demand son: Siempre Inicia una conexión de VPN para cualquier dirección que coincide con el dominio especificado. Nunca No inicia una conexión de VPN para direcciones que coinciden con el dominio especificado, pero si la VPN ya está activa, puede ser usada. Establecer si es necesario Inicia una conexión de VPN para direcciones que coinciden con el dominio especificado sólo luego de que ha fallado una búsqueda DNS. Configuración de VPN •iOS se integra con varias de las actuales redes VPN con una configuración mínima necesaria. La mejor manera de preparar la implementación es comprobar si iOS es compatible con los protocolos VPN y los métodos de autenticación de tu compañía. • Se recomienda que revises la ruta de autenticación en tu servidor de autenticación para garantizar que los estándares compatibles con iOS estén habilitados en tu implementación. • Si piensas utilizar la autenticación basada en certificados, asegúrate de tener la infraestructura de clave pública configurada para ser compatible con certificados basados en dispositivos y usuarios, con el correspondiente proceso de distribución de claves. • Si deseas configurar los ajustes de proxy específicos para la URL, coloca un archivo PAC en un servidor web que sea accesible con la configuración básica de VPN y asegúrate que se encuentra alojado con el tipo application/x-ns-proxy-autoconfig MIME. Configuración de proxy Para todas las configuraciones también puedes especificar un proxy VPN. Para configurar un proxy único para todas las conexiones, usa la configuración manual e ingresa la dirección, el puerto y la autenticación, si es necesario. Para configurar el dispositivo con un archivo de configuración de proxy automático que utiliza PAC o WPAD, emplea el ajuste automático. Para PACS, especifica la URL del archivo PACS. Para WPAD, el iPhone y el iPad consultarán DHCP y DNS para la configuración adecuada. 3 Escenario de implementación El ejemplo muestra una implementación habitual con un servidor/concentrador de VPN y con un servidor de autenticación que controla el acceso a los servicios de red empresariales. Firewall Firewall 3a 3b Certificado o token de autenticación Servidor de autenticación de VPN Generación de token o autenticación de certificado Servicio de directorio 2 1 4 Servidor/concentrador de VPN Red privada 5 Internet pública Servidor proxy 1 El iPhone y el iPad solicitan acceso a los servicios de red. 2 El servidor/concentrador de VPN recibe la solicitud y la transfiere al servidor de autenticación. 3 En un entorno de token de dos factores, el servidor de autenticación administrará la generación de claves de token sincronizada con el servidor de claves. Si se implementa un método de autenticación de certificados es necesario distribuir un certificado de identidad al iPhone antes de la autenticación. Si se implementa un método de contraseñas el proceso de autenticación continúa con la validación del usuario. 4 Una vez que el usuario es autenticado, el servidor de autenticación valida las políticas del usuario y el grupo. 5 Luego de validar las políticas del usuario y del grupo, el servidor de VPN brinda acceso encapsulado y encriptado a los servicios de red. 6 Si se usa un servidor de proxy, el iPhone y el iPad se conectan a través del servidor de proxy para acceder a la información fuera del firewall. © 2011 Apple Inc. Todos los derechos reservados. Apple, el logo Apple, iPhone, iPad y Mac OS son marcas comerciales de Apple Inc., registradas en los EE.UU. y en otros países. Otros nombres de productos y compañías mencionados aquí pueden ser marcas registradas de sus respectivas compañías. Las especificaciones de productos están sujetas a cambios sin previo aviso. Este material ese provisto solo a título informativo; Apple no asume responsabilidad relacionada con su uso. Octubre de 2011 L419828B