05 marzo 2010

Personalizando la seguridad de Iphone mediante perfiles

La semana pasada, comentamos la posibilidad de modificar el formato de contraseña de desbloqueo del Iphone para que fuera alfanumérica en vez de sólo numérica. Comentábamos que la gente de 9to5mac habían generado un perfil que podíamos importar en nuestro Iphone para conseguir esto.

No obstante, si queremos crear nuestros propios perfiles para IPhone, existe una herramienta (imagino que fue la que usaron en 9to5mac) que nos permite elegir todos los ingredientes que queramos de una configuración de seguridad y personalización para Iphone.

Esta herramienta tiene bastante utilidad para usuarios normales (como backup ante desastres, actualización de versiones que conlleven pérdida de información interna, etc,...) pero sobre todo para empresas y generación de perfiles corporativos en aquellas organizaciones que se elija el Iphone como la plataforma de trabajo y teléfono (para el despliegue de la configuración de servidores de correo, VPN, Wifi, certificados PKCS12, etc,...).

Se llama "iPhone Configuration Utility" y la podéis descargar para Windows y para Mac.

En el caso de Mac, se instala en "Utilidades" y no en aplicaciones (os evito el ratito para encontrar dónde se almacena, que yo sí que me tiré buscando).

Entre otras, permite personalizar lo siguiente (Para agrandar cualquiera de las fotos podéis hacer click en ellas):
  • General: Hemos de darle un nombre y, si queremos, una descripción de lo que implementa el perfil que vamos a generar, así como opciones de eliminación del mismo (Siempre, Nunca o Con Autorización)

  • Código: Desde aquí podemos configurar la política de contraseñas para desbloqueo del dispositivo (que el valor sea numérico o alfanumérico, longitud mínima válida, que tenga caracteres no alfanuméricos, tiempo máximo de validez de contraseñas, tiempo de bloqueo, historial de contraseñas, intentos fallidos, etc,...). El perfil ofrecido por 9to5mac tenía habilitada únicamente las opciones de configuración de esta sección.
  • Restricciones: Para prohibir la instalación de aplicaciones nuevas, uso de la cámara, hacer screenshots, youtube, contenidos multimedia, etc... Sobre todo para organizaciones, con políticas excesivamente talibanes en modo "el dispositivo que la empresa te suministra está para trabajar, no para tus fines lúdicos" puede tener bastante utilidad.
  • WI-FI: Configurar las redes wireless a las que se podrá acceder desde el dispositivo. Para cada red podemos configurar el SSID, las características de seguridad de la red (WEP/WPA/WPA2, contraseña, protocolos como EAP, PEAP, TLS, uso de certificados para el acceso, etc,...). Muy completo y cómodo, sobre todo para redes corporativas con mecanismos robustos de securización implementados.
  • Conexiones VPN: Para hacer que los usuarios puedan acceder a activos de la organización de forma segura podemos seleccionar conexiones L2TP, PPTP e IPSec. Esto, que puede ser complejo para un usuario que esto de la informática le viene un poco de lado, se puede paquetizar dentro del perfile empresarial también sin que tenga que rellenar nada más.
  • Credenciales: Si disponemos de aplicaciones web (así como para acceso a redes wireless o VPN) requerimos autenticación mediante certificados, desde aquí podemos importar certificados digitales PKCS12 (p12) o PKCS1 (.cer) de forma directa y segura en los dispositivos, sin tener que enviar por correo o colgar de un servidor web las credenciales para todos los usuarios.
  • Ajustes del protocolo SCEP: Si la organización en cuestión utiliza este tipo de protocolo de enrollment, desde aquí se podrán configurar los parámetros necesarios.

Además, con esta herramienta podremos configurar otras opciones (no relacionadas directamente con la seguridad, como la suscripción a calendarios, cuentas de correo, Exchange, directorios LDAP, modificación de ajustes del operador de telefonía, etc,...).

Los perfiles generados son cifrados y firmados, y se pueden enviar por correo electrónico directamente o exportar a un fichero .mobileconfig para ser distribuido de otras formas a los usuarios o para guardar como backup para casos de desastre o robo de un dispositivo por ejemplo.

2 comments :

bluepoint30 dijo...

Mas completa de lo que esperaba. La verdad que para algunos noveles como yo esta muy bien para comenzar a trastear y terminar bloqueando el equipo sino lo hacemos con mucho ojo.
Un saludo Lorenzo. Excelente documentación.

bluepoint30 dijo...

Mas completa de lo que esperaba. La verdad que para algunos noveles como yo esta muy bien para comenzar a trastear y terminar bloqueando el equipo sino lo hacemos con mucho ojo.
Un saludo Lorenzo. Excelente documentación.