ios-implementatie Technische referentiehandleiding

Transcriptie

1 ios-implementatie Technische referentiehandleiding ios 7 Februari 2014

2 Inhoud Pagina 3 Pagina 4 Pagina 4 Pagina 6 Pagina 6 Pagina 7 Pagina 13 Pagina 13 Pagina 14 Pagina 15 Inleiding Hoofdstuk 1: Integratie Microsoft Exchange Op standaarden gebaseerde voorzieningen Wi-Fi Virtual Private Networks App-gebonden VPN Eenmalige aanmelding Digitale certificaten Bonjour Pagina 16 Hoofdstuk 2: Beveiliging Pagina 16 Apparaatbeveiliging Pagina 18 Versleuteling en beveiliging van gegevens Pagina 20 Netwerkbeveiliging Pagina 20 Beveiliging van apps Pagina 21 Internetservices Pagina 24 Hoofdstuk 3: Configuratie en beheer Pagina 24 Pagina 25 Pagina 25 Pagina 28 Configuratie en activering van apparaten Configuratieprofielen Mobiel-apparaatbeheer (MDM) Aanmelding en supervisie van apparaten Pagina 30 Hoofdstuk 4: Distributie van apps Pagina 30 Volume Purchase Program Pagina 32 B2B-apps op maat Pagina 32 Interne apps Pagina 34 Apps implementeren Pagina 35 Caching Server Pagina 37 Bijlage A: Wi-Fi-infrastructuur Pagina 40 Bijlage B: Beperkingen Pagina 42 Bijlage C: Draadloos interne apps installeren 2

3 Inleiding Deze handleiding is bedoeld voor IT-beheerders die ios-apparaten op hun netwerk willen ondersteunen. De handleiding biedt informatie over de implementatie en ondersteuning van iphone, ipad en ipod touch in grote organisaties zoals ondernemingen of onderwijsinstellingen. Er wordt uitgelegd hoe ios-apparaten uitgebreide beveiliging bieden, met uw bestaande infrastructuur geïntegreerd kunnen worden en krachtige hulpmiddelen voor implementatie vormen. Een goed begrip van de belangrijkste technologieën die door ios ondersteund worden, dragen bij aan de uitvoering van een implementatiestrategie die uw gebruikers een optimale ervaring biedt. De volgende hoofdstukken dienen als een technische referentiehandleiding voor de implementatie van ios-apparaten binnen uw organisatie: Integratie. ios-apparaten beschikken over ingebouwde ondersteuning voor een brede verscheidenheid aan netwerkinfrastructuren. In dit gedeelte leert u meer over de door ios ondersteunde technologieën en beproefde methoden voor de integratie met Microsoft Exchange, Wi-Fi, VPN en andere standaardvoorzieningen. Beveiliging. ios is ontworpen met het oog op veilige toegang tot bedrijfsservices en de beveiliging van belangrijke gegevens. ios biedt krachtige codering voor gegevensoverdracht, beproefde methoden voor identiteitscontrole voor toegang tot bedrijfsvoorzieningen en hardwarecodering voor alle opgeslagen gegevens. In dit hoofdstuk leest u meer over de beveiligingsvoorzieningen van ios. Configuratie en beheer. ios biedt ondersteuning voor geavanceerde tools en technologieën waarmee ios-apparaten eenvoudig in te stellen zijn, naar uw eisen geconfigureerd kunnen worden, en moeiteloos in een grootschalige omgeving beheerd kunnen worden. In dit hoofdstuk vindt u een beschrijving van de verschillende beschikbare tools voor implementatie en een overzicht van mobiel-apparaatbeheer (MDM, Mobile Device Management) en het Device Enrollment Program. Distributie van apps. Er zijn verschillende manieren waarop u apps en materialen binnen uw organisatie kunt implementeren. Met programma's van Apple zoals het Volume Purchase Program en het ios Developer Enterprise Program kan uw organisatie apps voor de interne gebruikers kopen, ontwikkelen en implementeren. In dit hoofdstuk vindt u gedetailleerde informatie over deze programma's en de manier waarop apps voor intern gebruik kunnen worden gekocht of gebouwd. De volgende bijlagen bevatten aanvullende technische gegevens en vereisten: Wi-Fi-infrastructuur. Informatie over de Wi-Fi-standaarden die ios ondersteunt en aandachtspunten bij de planning van een grootschalig Wi-Fi-netwerk. Beperkingen. Gedetailleerde informatie over de beperkingen die u kunt gebruiken om ios-apparaten te configureren volgens uw vereisten op het gebied van beveiliging, toegangscodes en ander beleid. Draadloos interne apps installeren. Details en vereisten voor de distributie van interne apps via uw eigen webportal. Aanvullende bronnen Meer nuttige informatie is te vinden op de volgende websites:

4 Hoofdstuk 1: Integratie ios-apparaten beschikken over ingebouwde ondersteuning voor een brede verscheidenheid aan netwerkinfrastructuren. Ze ondersteunen: Veelgebruikte systemen van andere fabrikanten, zoals Microsoft Exchange Integratie met op standaarden gebaseerde voorzieningen voor , adreslijsten, agenda's en andere systemen Standaard-Wi-Fi-protocollen voor gegevensoverdracht, versleuteling VPN (Virtual Private Network) waaronder app-gebonden VPN Eenmalige aanmelding voor gestroomlijnde identiteitscontrole bij apps en diensten op het netwerk Digitale certificaten voor gebruikersverificatie en beveiligde communicatie Aangezien deze ondersteuning in ios is ingebouwd, hoeft uw IT-afdeling slechts een paar instellingen te configureren om ios-apparaten in uw bestaande infrastructuur te integreren. Als u verder leest, vindt u meer informatie over door ios ondersteunde technologieën en beproefde methoden voor integratie. Microsoft Exchange ios communiceert rechtstreeks met Microsoft Exchange Server via Microsoft Exchange ActiveSync (EAS), zodat u gebruik kunt maken van de pushtechnologie voor , agenda's, contactgegevens en taken. Daarnaast geeft EAS gebruikers toegang tot algemene adreslijsten en biedt EAS beheerders de mogelijkheid om een wachtwoordbeleid toe te passen en apparaten op afstand te wissen. ios is compatibel met zowel de algemene als de op certificaten gebaseerde vorm van identiteitscontrole voor Exchange ActiveSync. Als uw bedrijf al met Exchange ActiveSync werkt, beschikt u over alle benodigde voorzieningen om ios te ondersteunen. Daarvoor is verder geen extra configuratie nodig. Vereisten Apparaten met ios 7 of hoger ondersteunen de volgende versies van Microsoft Exchange: Exchange Server 2003 SP 2 (EAS 2.5) Exchange Server 2007 (met gebruikmaking van EAS 2.5) Exchange Server 2007 SP 1 (EAS 12.1) Exchange Server 2007 SP 2 (EAS 12.1) Exchange Server 2007 SP 3 (EAS 12.1) Exchange Server 2010 (EAS 14.0) Exchange Server 2010 SP 1 (EAS 14.1) Exchange Server 2010 SP 2 (met gebruikmaking van EAS 14.1) Exchange Server 2013 (met gebruikmaking van EAS 14.1) Office 365 (met gebruikmaking van EAS 14.1) 4

5 Microsoft Direct Push Exchange Server stuurt automatisch s, taken, contactgegevens en agendaactiviteiten naar ios-apparaten als er een mobiele dataverbinding of Wi-Fi-verbinding beschikbaar is. ipod touch-apparaten en sommige ipad-modellen die geen verbinding via een mobiel telecomnetwerk kunnen maken, moeten verbonden zijn met een Wi-Fi-netwerk om pushberichten te kunnen ontvangen. Microsoft Exchange Autodiscovery ios ondersteunt de Autodiscover-voorziening van Microsoft Exchange Server 2007 en Microsoft Exchange Server Wanneer u een apparaat handmatig configureert, bepaalt de Autodiscover-voorziening op basis van uw adres en wachtwoord wat de juiste gegevens voor de Exchange-server zijn. Zie Autodiscover Service voor meer informatie over de Autodiscover-voorzieningen. Microsoft Exchange Global Address List ios-apparaten halen gegevens van contactpersonen op uit de algemene adreslijst op de Exchange-server van het bedrijf. U kunt de adreslijst raadplegen wanneer u in Contacten naar contactpersonen zoekt. Ook worden deze adreslijsten automatisch gebruikt voor het aanvullen van adressen tijdens het typen. ios 6 of hoger ondersteunt adreslijstfoto's (hiervoor is Exchange Server 2010 SP 1 of hoger vereist). Niet-ondersteunde functies van Exchange ActiveSync De volgende Exchange-functies worden niet ondersteund: Documenten openen op Sharepoint-servers via een koppeling in een Een bericht instellen voor een automatisch antwoord bij afwezigheid ios-versies identificeren via Exchange Wanneer een ios-apparaat verbinding maakt met een Exchange Server, wordt de ios-versie van het apparaat bekendgemaakt. Het versienummer wordt verstuurd in het veld 'User Agent' in de titel van de aanvraag en heeft de volgende opbouw: Apple-iPhone2C1/ Het cijfer achter het scheidingsteken (/) is het nummer van de ios-build, uniek voor elke ios-release. Om het buildnummer van een apparaat te bekijken, gaat u naar 'Instellingen' > 'Algemeen' > 'Info'. U ziet het versienummer en het buildnummer, bijvoorbeeld 4.1 (8B117A). Het nummer tussen haakjes is het buildnummer. Dit nummer geeft de release aan die op het apparaat wordt gebruikt. Wanneer het buildnummer naar de Exchange Server wordt verstuurd, wordt de structuur geconverteerd van NANNNA (waar N een numerieke waarde is en A een letter) naar de Exchange-structuur NNN.NNN. Hierbij blijven de numerieke waarden behouden, maar worden de letters geconverteerd naar hun positionele waarde in het alfabet. Zo wordt 'F' geconverteerd naar '06', omdat 'F' de zesde letter van het alfabet is. Cijfers worden indien nodig voorafgegaan door nullen om de reeks geschikt te maken voor de Exchange-structuur. Het buildnummer 7E18 wordt bijvoorbeeld geconverteerd naar Het eerste cijfer, 7, blijft '7'. De letter E is de vijfde letter van het alfabet en wordt dus geconverteerd naar '05'. In de geconverteerde versie wordt een punt (.) toegevoegd zoals vereist bij deze structuur. Het volgende cijfer, 18, wordt voorafgegaan door een nul en wordt '018'. Als het buildnummer eindigt met een letter, bijvoorbeeld 5H11A, wordt het nummer geconverteerd zoals hierboven beschreven, maar worden vóór de numerieke waarde van de laatste letter drie nullen toegevoegd. 5H11A wordt dus

6 Wissen op afstand U kunt de inhoud van een ios-apparaat op afstand wissen met behulp van voorzieningen die door Exchange geboden worden. Hierbij worden alle configuratiegegevens en andere gegevens van het apparaat verwijderd. Het apparaat wordt op een veilige manier gewist en de fabrieksinstellingen worden hersteld. Bij het wissen wordt de coderingssleutel voor de gegevens (gecodeerd met 256-bits- AES-codering) verwijderd, waardoor de gegevens onmiddellijk niet meer kunnen worden hersteld. Met Microsoft Exchange Server 2007 of hoger kunt u een Remote Wipe uitvoeren via de Exchange Management Console, Outlook Web Access of Exchange ActiveSync Mobile Administration Web Tool. Met Microsoft Exchange Server 2003 kunt u een Remote Wipe uitvoeren via Exchange ActiveSync Mobile Administration Web Tool. Gebruikers kunnen hun apparaat ook zelf wissen door 'Instellingen' > 'Algemeen' > 'Stel opnieuw in' > 'Wis alle inhoud en instellingen' te kiezen. Het is ook mogelijk een apparaat zo te configureren dat het automatisch wordt gewist nadat er een bepaald aantal keren een onjuiste toegangscode is ingevoerd. Op standaarden gebaseerde voorzieningen Dankzij ondersteuning voor het IMAP-mailprotocol, LDAP-adreslijstvoorzieningen, het CalDAV-agendaprotocol en het CardDAV-contactprotocol is ios compatibel met vrijwel elke op standaarden gebaseerde omgeving. Als voor toegang tot het netwerk identiteitscontrole en SSL zijn ingesteld, kan via ios op een veilige manier toegang worden verkregen tot op standaarden gebaseerde zakelijke , agenda's, taken en contactgegevens. ios biedt ondersteuning voor SSL met 128-bits-codering en X. 509-certificaten afkomstig van de belangrijkste certificaatautoriteiten. In de meeste gevallen zal ios draadloos versturen en ontvangen via een rechtstreekse verbinding met de IMAP- en SMTP-mailservers. Bovendien kunnen notities draadloos worden gesynchroniseerd met IMAP-servers. ios-apparaten kunnen verbinding maken met de LDAPv3-adreslijsten van uw bedrijf, zodat gebruikers toegang hebben tot bedrijfsinformatie in de Mail-, Contacten- en Berichten-apps. Via synchronisatie met uw CalDAV-server kunnen gebruikers draadloos agendauitnodigingen aanmaken en accepteren, agenda-updates ontvangen en taken synchroniseren met de Herinneringen-app. En dankzij CardDAV-ondersteuning kunnen gebruikers de gegevens van contactpersonen in de vcard-structuur synchroon houden met uw CardDAV-server. Alle netwerkservers kunnen zich in een DMZsubnetwerk of achter een bedrijfsfirewall bevinden, of beide. Wi-Fi ios-apparaten kunnen standaard op een veilige manier verbinding maken met Wi-Fi-bedrijfsnetwerken of -gastnetwerken, zodat gebruikers snel en eenvoudig overal toegang kunnen hebben tot draadloze netwerken. Aanmelden bij een Wi-Fi-netwerk Gebruikers kunnen instellen dat ios-apparaten automatisch verbinding maken met beschikbare Wi-Fi-netwerken. Gebruikers hebben via de Wi-Fi-instellingen of vanuit apps als Mail snel toegang tot Wi-Fi-netwerken waarvoor inloggegevens of andere gegevens vereist zijn zonder dat ze hiervoor een nieuwe browsersessie hoeven te openen. En doordat de Wi-Fi-verbinding niet wordt verbroken en weinig batterijstroom vergt, kunnen apps via het Wi-Fi-netwerk pushberichten versturen. 6

7 WPA2-Enterprise ios ondersteunt standaardprotocollen voor draadloze netwerken, waaronder WPA2-Enterprise, zodat draadloze bedrijfsnetwerken veilig kunnen worden benaderd vanaf ios-apparaten. WPA2-Enterprise maakt gebruik van 128-bits AESversleuteling, een beproefde versleutelingsmethode op basis van blokken die een hoge mate van veiligheid biedt. Dankzij ondersteuning voor 802.1x-identiteitscontrole kan ios in uiteenlopende RADIUS-serveromgevingen worden geïntegreerd. ios ondersteunt meerdere methoden voor draadloze 802.1x-identiteitscontrole, zoals EAP-TLS, EAP-TTLS, EAP-FAST, PEAPv0, PEAPv1 en LEAP. Roaming Voor roaming op grote Wi-Fi-bedrijfsnetwerken biedt ios ondersteuning voor k en r. Dankzij k, dat gebruikmaakt van de rapportages van de toegangspunten, kunnen ios-apparaten gemakkelijker overgaan naar een ander Wi-Fi-toegangspunt r stroomlijnt identiteitscontrole met 802.1x wanneer een apparaat van het ene naar het volgende toegangspunt gaat. De instellingen voor draadloze netwerken, beveiliging, proxy's en identiteitscontrole kunnen met behulp van configuratieprofielen of MDM worden ingesteld, zodat gebruikers snel aan de slag kunnen. Virtual Private Networks Via de gebruikelijke VPN-protocollen kunt u afgeschermde bedrijfsnetwerken veilig benaderen vanaf een ios-apparaat. ios biedt standaard ondersteuning voor Cisco IPSec, L2TP over IPSec en PPTP. Als uw organisatie gebruikmaakt van een van deze protocollen, hoeft u uw netwerk verder niet te configureren en hebt u geen apps van andere fabrikanten nodig om op een ios-apparaat verbinding te maken met uw VPN. Daarnaast biedt ios ondersteuning voor SSL VPN van bekende VPN-aanbieders. De gebruiker hoeft alleen een VPN-clientapp van een van deze bedrijven uit de App Store te downloaden, en kan daarna meteen aan de slag. Net als bij de andere VPN-protocollen die door ios worden ondersteund, kan SSL VPN handmatig op het apparaat geconfigureerd worden of via configuratieprofielen of MDM. ios ondersteunt standaardtechnologieën als IPv6, proxyservers en split-tunneling, zodat gebruikers probleemloos gebruik kunnen maken van VPN om verbinding met het bedrijfsnetwerk te maken. Bovendien werkt ios met verschillende methoden voor identiteitscontrole, waaronder wachtwoorden, twee-factorentokens en digitale certificaten. ios ondersteunt VPN on Demand om de verbinding te bespoedigen in omgevingen waarin gebruik wordt gemaakt van identiteitscontrole op basis van certificaten. In ios 7 kunnen individuele apps geconfigureerd worden om een VPN-verbinding te gebruiken onafhankelijk van andere apps op het apparaat. Hierdoor gaan bedrijfsgegevens altijd via een VPN-verbinding terwijl andere gegevens, zoals van de persoonlijke apps uit de App Store van de gebruiker, buiten het VPN om gaan. Zie "App-gebonden VPN" verderop in dit hoofdstuk voor meer informatie. Ondersteunde protocollen en methoden voor identiteitscontrole SSL VPN. Ondersteunt identiteitscontrole van gebruikers via een wachtwoord, twee-factorentoken of certificaten. Cisco IPSec. Ondersteunt identiteitscontrole via een wachtwoord en tweefactorentoken, en identiteitscontrole van apparaten via een gedeeld geheim en certificaten. 7

8 L2TP over IPSec. Ondersteunt identiteitscontrole via een MS-CHAP v2-wachtwoord en twee-factorentoken, en identiteitscontrole van apparaten via een gedeeld geheim. PPTP. Ondersteunt identiteitscontrole via een MS-CHAP v2-wachtwoord en tweefactorentoken. SSL VPN-clients Verschillende SSL VPN-aanbieders hebben apps ontwikkeld waarmee het configureren van ios-apparaten voor gebruik met hun oplossingen soepeler verloopt. Als u een apparaat voor gebruik met een specifieke oplossing wilt configureren, installeert u de bijbehorende app en zorgt u (optioneel) voor een configuratieprofiel met de benodigde instellingen. SSL VPN-oplossingen omvatten: Juniper Junos Pulse SSL VPN. ios biedt ondersteuning voor Juniper Networks SA Series SSL VPN Gateway met versie 6.4 of hoger met Juniper Networks IVE package 7.0 of hoger. Voor de configuratie installeert u de Junos Pulse-app, verkrijgbaar in de App Store. Ga voor meer informatie naar de site van Juniper Networks. F5 SSL VPN. ios ondersteunt F5 BIG-IP Edge Gateway-, Access Policy Manageren FirePass SSL VPN-toepassingen. Voor de configuratie installeert u de F5 BIG-IP Edge Client-app, verkrijgbaar in de App Store. Raadpleeg voor meer informatie het witboek van F5: Secure iphone Access to Corporate Web Applications. Aruba Networks SSL VPN. ios ondersteunt Aruba Networks Mobility Controller. Voor de configuratie installeert u de Aruba Networks VIA-app, verkrijgbaar in de App Store. Contactgegevens zijn te vinden op de site van Aruba Networks. SonicWALL SSL VPN. ios ondersteunt SonicWALL Aventall E-Class Secure Remote Access-appliances met versie of hoger, SonicWALL SRA-appliances met versie 5.5 of hoger en SonicWALL Next-Generation Firewall-appliances waaronder de TZ, NSA, E-Class NSA met SonicOS of hoger. Voor de configuratie installeert u de SonicWALL Mobile Connect-app, verkrijgbaar in de App Store. Contactgegevens zijn te vinden op de site van SonicWALL. Check Point Mobile SSL VPN. ios ondersteunt de Check Point Security Gateway met een volledige Layer-3-VPN-tunnel. Voor de configuratie installeert u de Check Point Mobile-app, verkrijgbaar in de App Store. OpenVPN SSL VPN. ios biedt ondersteuning voor OpenVPN Access Server, Private Tunnel en OpenVPN Community. Voor de configuratie installeert u de OpenVPN Connect-app, verkrijgbaar in de App Store. Palo Alto Networks GlobalProtect SSL VPN. ios ondersteunt de GlobalProtectgateway van Palo Alto Networks. Voor de configuratie installeert u de GlobalProtect voor ios-app, verkrijgbaar in de App Store. Cisco AnyConnect SSL VPN. ios biedt ondersteuning voor Cisco Adaptive Security Appliance (ASA) met software-versie 8.0(3).1 of hoger. Voor de configuratie installeert u de Cisco AnyConnect-app, verkrijgbaar in de App Store. Richtlijnen voor VPN-configuratie Configuratierichtlijnen Cisco IPSec Aan de hand van deze richtlijnen kunt u de Cisco VPN-server configureren voor gebruik met ios-apparaten. ios biedt ondersteuning voor Cisco ASA 5500 Security Appliances en PIX Firewalls die zijn geconfigureerd met softwareversie 7.2.x of hoger. De meest recente softwarerelease (8.0x of hoger) wordt aanbevolen. Daarnaast biedt ios ondersteuning voor Cisco IOS VPN-routers met IOS-versie 8

9 12.4(15)T of hoger. De VPN 3000 Series Concentrators bieden geen ondersteuning voor de VPN-voorzieningen van ios. Proxyconfiguratie U kunt ook één VPN-proxy opgeven voor alle configuraties. Om voor alle verbindingen één proxy te configureren, tikt u op 'Handmatig' en geeft u het adres, de poort en indien nodig de identiteitscontrole op. Als u voor het apparaat een bestand voor automatische proxyconfiguraties op basis van PAC of WPAD wilt opgeven, tikt u op 'Autom.'. Voor automatische configuratie op basis van PAC geeft u de url van het PAC-bestand op. Voor automatische configuratie op basis van WPAD wordt op ios gezocht naar de juiste instellingen. Methoden voor identiteitscontrole Voor ios kunnen de volgende methoden voor identiteitscontrole worden gebruikt: IPsec-identiteitscontrole op basis van een vooraf gedeelde sleutel met gebruikerscontrole via xauth. Client- en servercertificaten voor IPsec-identiteitscontrole met optionele gebruikerscontrole via xauth. Hybride identiteitscontrole waarbij de server een certificaat verstrekt en de client een vooraf gedeelde sleutel verstrekt voor IPsec-identiteitscontrole. Gebruikerscontrole via xauth is vereist. Voor gebruikerscontrole wordt xauth gebruikt op basis van een van de volgende methoden: Gebruikersnaam met wachtwoord RSA SecurID CRYPTOCard Identiteitscontrolegroepen Het Cisco Unity-protocol gebruikt identiteitscontrolegroepen om gebruikers te groeperen op basis van gemeenschappelijke parameters voor onder andere identiteitscontrole. U moet een identiteitscontrolegroep aanmaken voor gebruikers van ios-apparaten. Voor hybride identiteitscontrole en controle op basis van een vooraf gedeelde sleutel moet bij het configureren van de groepsnaam op het apparaat het gedeelde geheim van de groep (de vooraf gedeelde sleutel) als groepswachtwoord worden ingesteld. Voor identiteitscontrole op basis van certificaten wordt geen gedeeld geheim gebruikt. De identiteit van een gebruikersgroep wordt vastgesteld op basis van velden in het certificaat. U kunt de Cisco-serverinstellingen gebruiken om velden in een certificaat aan gebruikersgroepen te koppelen. RSA-Sig moet de hoogste prioriteit hebben in de ISAKMP-prioriteitenlijst. Certificaten Bij het configureren en installeren van certificaten is het volgende van belang: In het identiteitscertificaat van de server moet in het SubjectAltName-veld de DNSnaam en/of het IP-adres van de server zijn ingevuld. Op basis van deze informatie controleert het apparaat of het certificaat bij de server hoort. Voor meer flexibiliteit kunt u de SubjectAltName opgeven m.b.v. jokertekens, zoals 'vpn.*.mijnbedrijf.com', zodat de naam op meerdere servers van toepassing is. Als er geen SubjectAltName wordt opgegeven, kunt u de DNS-naam in het gewone naamveld invullen. Op het apparaat moet het certificaat zijn geïnstalleerd van de certificaatautoriteit die het servercertificaat heeft ondertekend. Als dit geen rootcertificaat is, moet u de rest van de vertrouwensketen installeren om ervoor te zorgen dat dit certificaat wordt vertrouwd. Als u gebruikmaakt van clientcertificaten, moet u ervoor zorgen dat op de VPN-server het certificaat is geïnstalleerd van de vertrouwde certificaat- 9

10 autoriteit die het clientcertificaat heeft ondertekend. Bij gebruik van identiteitscontrole op basis van certificaten moet de server zo zijn ingesteld dat deze de identiteit van de gebruikersgroep kan vaststellen op basis van velden in het clientcertificaat. De certificaten en certificaatautoriteiten moeten geldig zijn (ze mogen bijvoorbeeld niet verlopen zijn). Het versturen van een certificaatketen via de server wordt niet ondersteund. U moet deze optie dan ook uitschakelen. IPSec-instellingen Gebruik de volgende IPSec-instellingen: Mode. 'Tunnel Mode' IKE Exchange Modes. 'Aggressive Mode' voor hybride identiteitscontrole en controle op basis van een vooraf gedeelde sleutel of 'Main Mode' voor identiteitscontrole op basis van certificaten. Coderingsalgoritmes. 3DES, AES-128, AES-256. Algoritmes voor identiteitscontrole. HMAC-MD5, HMAC-SHA1. Diffie-Hellman Groups. 'Group 2' is vereist voor hybride identiteitscontrole en controle op basis van een vooraf gedeelde sleutel. Voor identiteitscontrole op basis van certificaten gebruikt u 'Group 2' met 3DES en AES-128. Gebruik 'Group 2' of 'Group 5' met AES-256. PFS (Perfect Forward Secrecy). Voor IKE fase 2 moet bij gebruik van PFS dezelfde Diffie-Hellman-groep worden gebruikt als voor IKE fase 1. Mode Configuration. Moet zijn ingeschakeld. Dead Peer Detection. Aanbevolen. Standard NAT Traversal. Wordt ondersteund en kan worden ingeschakeld (IPSec via TCP wordt niet ondersteund). Load-balancing. Wordt ondersteund en kan worden ingeschakeld. Re-keying of Phase 1. Wordt momenteel niet ondersteund. Het wordt aanbevolen om het interval voor re-keying op de server in te stellen op één uur. ASA Address Mask. Zorg dat alle adrespoolmaskers van apparaten niet zijn ingesteld, of zijn ingesteld op Bijvoorbeeld: asa(config-webvpn)# ip local pool vpn_users mask Wanneer u dit aanbevolen adresmasker gebruikt, worden sommige routes die door de VPN-configuratie worden verondersteld, mogelijk genegeerd. Om dit te voorkomen zorgt u ervoor dat uw routeringstabel alle benodigde routes bevat en controleert u of de subnetadressen toegankelijk zijn voordat u een en ander implementeert. Overige ondersteunde functies Versie van de app. Informatie over de softwareversie op de client wordt naar de server gestuurd, zodat de server verbindingen kan toestaan of weigeren op basis van de softwareversie op het apparaat. Banner. Als de banner op de server is geconfigureerd, wordt deze op het apparaat weergegeven. De gebruiker kan de banner vervolgens accepteren of de verbinding verbreken. Split Tunnel. De functie 'Split Tunnel' wordt ondersteund. Split DNS. De functie 'Split DNS' wordt ondersteund. Default Domain. De functie 'Default Domain' wordt ondersteund. 10

11 VPN on Demand Met VPN on Demand kan ios automatisch een beveiligde verbinding tot stand brengen zonder tussenkomst van de gebruiker. De VPN-verbinding wordt opgezet wanneer dat nodig is, op basis van regels die in een configuratieprofiel zijn vastgelegd. In ios 7 wordt VPN on Demand geconfigureerd met gebruikmaking van de OnDemandRules-sleutel in een VPN-payload van een configuratieprofiel. De regels worden in twee fasen toegepast: Netwerkdetectie. Hier worden de VPN-vereisten opgesteld die worden toegepast wanneer de primaire netwerkverbinding van het apparaat verandert. Verbindingsevaluatie. Hier worden de VPN-vereisten opgesteld voor verbindingsaanvragen bij domeinnamen wanneer dat nodig is. Regels kunnen bijvoorbeeld worden gebruikt om: Te herkennen wanneer een ios-apparaat verbonden is met een intern netwerk en er geen VPN-verbinding nodig is. Te herkennen wanneer er een onbekend Wi-Fi-netwerk wordt gebruikt en er een VPN-verbinding vereist is voor alle netwerkactiviteit. Een VPN-verbinding vereist te stellen wanneer een DNS-aanvraag voor een opgegeven domein mislukt. Netwerkdetectie De regels voor VPN on Demand worden geëvalueerd wanneer de primaire netwerkinterface van het apparaat verandert, bijvoorbeeld wanneer een ios-apparaat overgaat naar een ander Wi-FI-netwerk of wanneer het apparaat overschakelt van een mobiel datanetwerk naar een Wi-Fi-netwerk. Als de primaire interface een virtuele interface (zoals een VPN-interface) is, worden de regels voor VPN on Demand genegeerd. De vergelijkingsregels in elke set (elke woordenlijst) moeten stuk voor stuk overeenkomen om de eraan gekoppelde actie te laten plaatsvinden; als een van de regels niet overeenkomt, gaat de evaluatie automatisch over naar de volgende woordenlijst in de matrix, tot de OnDemandRules-matrix volledig doorlopen is. In de laatste woordenlijst moet een "standaardconfiguratie" worden opgesteld oftewel: er moeten hier geen vergelijkingsregels te vinden zijn, maar alleen een actie. Zo worden alle verbindingen afgevangen waarvoor in de vorige regels geen overeenkomsten gevonden zijn. Verbindingsevaluatie De VPN-voorziening kan worden getriggerd op basis van verbindingsvereisten bij bepaalde domeinen, in plaats van het eenzijdig maken en verbreken van VPN-verbindingen op basis van de netwerkinterface. Vergelijkingsregels VPN on Demand Er moeten een of meerdere van de volgende vergelijkingsregels worden opgegeven: InterfaceTypeMatch. Optie. Een tekenreekswaarde voor Wi-Fi of mobiel datanetwerk. Als deze waarde wordt ingesteld, is deze regel waar wanneer de primaire interfacehardware van het opgegeven type is. SSIDMatch. Optie. Een matrix van SSID's die met het huidige netwerk vergeleken worden. Als het netwerk geen Wi-Fi-netwerk is of als de SSID ervan niet in de lijst is opgenomen, is de regel onwaar. Om SSID te negeren kunnen deze sleutel en de bijbehorende matrix worden weggelaten. DNSDomainMatch. Optie. Een matrix van zoekdomeinen in tekenreeksen. Als het geconfigureerde DNS-zoekdomein van het huidige primaire netwerk in de matrix is opgenomen, is deze regel waar. Er wordt ondersteuning geboden voor jokertekens (*) als voorvoegsel; de reeks "*.voorbeeld.com" levert bijvoorbeeld de treffer "alles.voorbeeld.com" op. 11

12 DNSServerAddressMatch. Optie. Een matrix van DNS-serveradressen in tekenreeksen. Deze regel is waar als alle DNS-serveradressen die op dat moment voor de primaire interface geconfigureerd zijn, zich in de matrix bevinden. Jokertekens worden ondersteund: "1.2.3.*" komt bijvoorbeeld overeen met alle DNS-servers met het voorvoegsel "1.2.3.". URLStringProbe. Optie. Een server die wordt benaderd om de bereikbaarheid na te gaan. Omleiding wordt niet ondersteund. De url moet naar een vertrouwde HTTPS-server verwijzen. Het apparaat verstuurt een GET-aanvraag om te controleren of de server bereikbaar is. Action Deze sleutel bepaalt het VPN-gedrag wanneer alle opgegeven vergelijkingsregels waar zijn. De sleutel is vereist. Waarden voor de Action-sleutel zijn: Connect. Hiermee wordt de VPN-verbinding bij de volgende verbindingspoging onvoorwaardelijk geïnitieerd. Disconnect. De VPN-verbinding wordt verbroken en er worden geen nieuwe verbindingen op aanvraag getriggerd. Ignore. Een eventuele VPN-verbinding blijft behouden maar er worden geen nieuwe verbindingen op aanvraag getriggerd. Allow. Voor ios-apparaten met ios 6 of lager. Zie "Opmerkingen over compatibiliteit met oudere apparatuur" verderop in dit gedeelte. EvaluateConnection. De ActionParameters voor elke verbindingspoging worden beoordeeld. Als deze waarde wordt gebruikt, is de sleutel "ActionParameters" (zie hieronder) vereist om de beoordelingsregels op te geven. ActionParameters Een matrix met woordenlijsten met de hieronder beschreven sleutels, beoordeeld in de volgorde waarin ze zijn opgenomen. Vereist als de Action "EvaluateConnection" is. Domains. Verplicht. Een matrix met tekenreeksen die de domeinen beschrijven waarvoor deze beoordeling van toepassing is. Jokertekens worden als voorvoegsel ondersteund, bijvoorbeeld "*.voorbeeld.com". DomainAction. Verplicht. Bepaalt het VPN-gedrag voor de domeinen. Waarden voor de DomainAction-sleutel zijn: ConnectIfNeeded. Hiermee wordt VPN gebruikt als de DNS-omzetting voor de domeinen mislukt bijvoorbeeld wanneer de DNS-server aangeeft dat de domeinnaam niet kan worden omgezet, wanneer de DNS-reactie wordt omgeleid, of als de verbinding mislukt of er een een time-out optreedt. NeverConnect. VPN wordt niet getriggerd voor de domeinen. Als de waarde "ConnectIfNeeded" is opgegeven voor "DomainAction", kunt u ook de volgende sleutels opgeven in de woordenlijst voor de beoordeling van de verbinding: RequiredDNSServers. Optie. Een matrix met IP-adressen van DNS-servers voor het omzetten van de domeinen. Deze servers hoeven geen deel uit te maken van de huidige netwerkconfiguratie van het apparaat. Als deze DNS-servers niet bereikbaar zijn, wordt de VPN-voorziening getriggerd. Er wordt een interne DNS-server of een vertrouwde externe DNS-server geconfigureerd. RequiredURLStringProbe. Optie. Een HTTP- of (bij voorkeur) HTTPS-url die met een GET-aanvraag wordt benaderd. Als de DNS-omzetting voor deze server lukt, moet het benaderen ook lukken. Als het benaderen niet lukt, wordt de VPN-voorziening geactiveerd. 12

13 Opmerkingen over compatibiliteit met oudere apparatuur Vóór ios werden regels voor het activeren van domeinen geconfigureerd via domeinmatrices met de namen "OnDemandMatchDomainAlways", "OnDemand- MatchDomainOnRetry" en "OnDemandMatchDomainNever". "OnRetry" en "Never" worden nog steeds ondersteund in ios 7, maar zijn in feite afgeschaft ten gunste van de actie "EvaluateConnection". Om een profiel aan te maken dat werkt bij zowel ios 7 als eerdere releases, gebruikt u de nieuwe EvaluateConnection-sleutels in aanvulling op de OnDemandMatchDomainmatrices. Eerdere versies van ios die "EvaluateConnection" niet herkennen maken gebruik van de oude matrices, terwijl ios 7 en hoger "EvaluateConnection" zullen gebruiken. Oude configuratieprofielen waarin de actie "Allow" is opgenomen, zullen werken op ios 7, met uitzondering van OnDemandMatchDomainsAlways-domeinen. App-gebonden VPN ios 7 biedt de extra mogelijkheid om VPN-verbindingen per app te leggen. Door deze benadering ontstaat een fijnmaziger controle over welke gegevens via een VPN gaan en welke niet. Met VPN op apparaatniveau gaan alle gegevens via het privénetwerk, ongeacht de oorsprong ervan. Nu er binnen organisaties door personeel steeds meer privéapparaten worden gebruikt, biedt app-gebonden VPN veilige netwerkmogelijkheden voor apps voor intern gebruik terwijl de privacy van persoonlijke activiteiten op het apparaat behouden blijft. Met app-gebonden VPN kan elke app die via MDM wordt beheerd via een beveiligde tunnel communiceren met het privénetwerk, terwijl andere (onbeheerde) apps van het netwerk worden buitengesloten. Bovendien kunnen beheerde apps met verschillende VPN-verbindingen geconfigureerd worden om de gegevens verder te beveiligen. Zo zou een app voor het maken van offertes gebruik kunnen maken van een ander datacenter dan een crediteurenapp, terwijl het persoonlijke internetverkeer van de gebruiker gebruikmaakt van het openbare internet. Door deze mogelijkheid om het verkeer op appniveau te scheiden kunnen persoonlijke gegevens en gegevens van de organisatie effectief van elkaar afgeschermd blijven. Om app-gebonden VPN te kunnen gebruiken moet een app beheerd worden via MDM en gebruikmaken van de standaard-api's voor netwerken in ios. App-gebonden VPN wordt geconfigureerd met een MDM-configuratie waarin wordt aangegeven welke apps en Safari-domeinen gebruik mogen maken van de instellingen. Meer informatie over MDM is te vinden in hoofdstuk 3: Configuratie en beheer. Eenmalige aanmelding In ios 7 kunnen apps profiteren van uw bestaande interne aanmeldingsstructuur met een enkel wachtwoord via Kerberos. Eenmalige aanmelding verbetert de gebruiksvriendelijkheid: gebruikers hoeven niet telkens hun wachtwoord op te geven. Ook wordt het beveiligingsniveau van het dagelijkse appgebruik op een hoger niveau getild omdat voorkomen wordt dat er draadloos wachtwoorden worden verstuurd. Het Kerberos-systeem voor identiteitscontrole dat door ios 7 wordt gebruikt is een bekend standaardprotocol en wereldwijd de meest gebruikte technologie voor eenmalige aanmelding. Als u Active Directory, edirectory of OpenDirectory gebruikt, is de kans groot dat u al een Kerberos-systeem hebt waar ios 7 gebruik van kan maken. ios-apparaten moeten via een netwerkverbinding contact met de Kerberosservice kunnen maken om gebruikers te kunnen verifiëren. 13

14 Ondersteunde apps ios biedt een flexibele ondersteuning voor eenmalige aanmelding via Kerberos voor elke app die de klasse "NSURLConnection" of "NSURLSession" gebruikt voor het beheer van netwerkverbindingen en identiteitscontrole. Apple voorziet alle ontwikkelaars van deze hoogwaardige frameworks om ervoor te zorgen dat netwerkverbindingen naadloos in hun apps geïntegreerd worden. Apple levert ook Safari als voorbeeld om u op gang te helpen door native gebruik van websites die eenmalige aanmelding ondersteunen. Eenmalige aanmelding configureren Configuratie van eenmalige aanmelding wordt gedaan met behulp van configuratieprofielen, die handmatig geïnstalleerd kunnen worden of via MDM beheerd kunnen worden. De accountinformatie voor eenmalige aanmelding maakt een flexibele configuratie mogelijk. Eenmalige aanmelding kan openstaan voor alle apps, maar ook worden beperkt aan de hand van de appidentificatie, service-url, of beide. Bij het vergelijken van url's wordt een eenvoudige patroonvergelijking gebruikt, en de url's moeten beginnen met " of " De vergelijking wordt gemaakt met de volledige url, om er zeker van te zijn dat ze volledig identiek zijn. Zo zou een URLPrefixMatches-waardehttps:// niet overeenkomen met U kunt " of " opgeven om het gebruik van eenmalige aanmelding te beperken tot reguliere dan wel beveiligde HTTP-diensten. Bij een URLPrefixMatches-waarde " worden de gegevens van de ingelogde gebruiker alleen gebruikt met (beveiligde) HTTPS-diensten. Als een url-vergelijkingspatroon niet wordt afgesloten met een schuine streep (/), wordt er een schuine streep (/) toegevoegd. De AppIdentifierMatches-matrix moet tekenreeksen bevatten die overeenkomen met app-bundel-id's. Deze tekenreeksen moeten volledig overeenkomen (bijvoorbeeld "com.mijnbedrijf.mijnapp") of een voorvoegsel voor de bundel-id bevatten in de vorm van het jokerteken (*). Het jokerteken moet na een punt (.) komen en mag uitsluitend aan het eind van een tekenreeks worden gebruikt (bijvoorbeeld "com.mijnbedrijf.*"). Als er een jokerteken wordt gebruikt, krijgt elke app waarvan de bundel-id met het voorvoegsel begint, toegang tot de gegevens van de ingelogde gebruiker. Digitale certificaten Een digitaal certificaat is een vorm van identificatie die zorgt voor een vlotte identiteitscontrole, gegevensintegriteit en versleuteling. Een digitaal certificaat bestaat uit een publieke sleutel plus gegevens over de gebruiker en de certificaatautoriteit die het certificaat heeft verstrekt. ios biedt ondersteuning voor digitale certificaten, zodat organisaties op een veilige en gestroomlijnde manier toegang hebben tot bedrijfsvoorzieningen. Certificaten kunnen op verschillende manieren worden gebruikt. Door gegevens met een digitaal certificaat te ondertekenen zorgt u ervoor dat de gegevens niet kunnen worden gewijzigd. Daarnaast staan digitale certificaten garant voor de identiteit van de auteur (de ondertekenaar). En tot slot kunt u met behulp van digitale certificaten configuratieprofielen en de netwerkcommunicatie versleutelen, zodat vertrouwelijke informatie ook echt vertrouwelijk blijft. Safari kan bijvoorbeeld de geldigheid van een digitaal X.509-certificaat controleren en via AES-versleuteling (tot 256 bits) een veilige sessie starten. Er wordt gecontroleerd of de identiteit van de website geldig is en of de communicatie met de website wordt versleuteld, zodat persoonlijke of vertrouwelijke gegevens niet door derden kunnen worden onderschept. 14

15 Ondersteunde certificaat- en identiteitsstructuren: ios ondersteunt X.509-certificaten met RSA-sleutels. Herkende bestandsextensies:.cer,.crt,.der,.p12 en.pfx. Certificaten gebruiken in ios Rootcertificaten ios bevat standaard een aantal vooraf geïnstalleerde rootcertificaten. Raadpleeg voor meer informatie het overzicht in dit Apple Support-artikel. ios kan certificaten draadloos bijwerken als de veiligheid van een van de vooraf geïnstalleerde rootcertificaten in het geding is. Deze voorziening kan eventueel worden uitgeschakeld met een beperking die het draadloos bijwerken van certificaten voorkomt. Als u een rootcertificaat gebruikt dat nog niet is geïnstalleerd, zoals een eigen rootcertificaat van uw organisatie, kunt u dit distribueren op een van de manieren die hieronder worden genoemd. Certificaten distribueren en installeren Het distribueren van certificaten naar ios-apparaten is heel simpel. Zodra een gebruiker het certificaat heeft ontvangen, hoeft hij er alleen maar op te tikken om de inhoud te bekijken en om het certificaat aan zijn apparaat toe te voegen. Wanneer een identiteitscertificaat wordt geïnstalleerd, moet de gebruiker de wachtwoordzin opgeven waarmee dit certificaat wordt beveiligd. Als de authenticiteit van een certificaat niet gecontroleerd kan worden, wordt het als niet-vertrouwd aangemerkt en kan de gebruiker zelf beslissen of hij of zij het toch aan het apparaat wil toevoegen. Certificaten installeren via configuratieprofielen Wanneer er configuratieprofielen worden gebruikt om instellingen voor bedrijfsvoorzieningen als Exchange, VPN of Wi-Fi te distribueren, kunnen met het oog op een gestroomlijnde implementatie certificaten aan het profiel worden toegevoegd. Dit omvat de mogelijkheid om certificaten via MDM te distribueren. Certificaten installeren via Mail of Safari Wanneer een certificaat via wordt verstuurd, wordt dit als een bijlage aan het bericht toegevoegd. Certificaten kunnen ook van een webpagina worden gedownload met Safari. U kunt een certificaat op een beveiligde website hosten en de gebruikers de url geven zodat ze het certificaat op hun apparaat kunnen downloaden. Certificaten verwijderen en intrekken Als u een geïnstalleerd certificaat handmatig wilt verwijderen gaat u naar Instellingen, kiest u 'Algemeen' > 'Profielen' en kiest u het certificaat dat u wilt verwijderen. Als u een certificaat verwijdert dat vereist is voor toegang tot een account of netwerk, kunt u met het apparaat geen verbinding meer maken met deze voorzieningen. Een MDM-server kan alle certificaten op een apparaat afgaan en door de server geïnstalleerde certificaten verwijderen. Ook de protocollen OCSP (Online Certificate Status Protocol) en CRL (Certificate Revocation List) worden ondersteund voor het controleren van de status van certificaten. Als er een voor OCSP of CRL geschikt certificaat wordt gebruikt, valideert ios het op gezette tijden om ervoor te zorgen dat het niet is ingetrokken. Bonjour Bonjour is het op standaarden gebaseerde netwerkprotocol van Apple waarbij configuratie onnodig is en waarmee apparaten automatisch voorzieningen op een netwerk kunnen opsporen. ios-apparaten gebruiken Bonjour om te zien of er AirPrint-printers en AirPlay-apparaten zoals Apple TV beschikbaar zijn. Ook voor sommige peer-to-peer-apps is Bonjour vereist. U moet er zeker van zijn dat uw netwerkinfrastructuur en Bonjour correct geconfigureerd zijn om te kunnen samenwerken. 15

16 Meer informatie over Bonjour is te vinden op deze Apple webpagina. Hoofdstuk 2: Beveiliging Het ontwerp van ios bestaat uit beveiligingslagen. Hierdoor krijgen ios-apparaten veilig toegang tot netwerkvoorzieningen en worden belangrijke gegevens beschermd. ios biedt krachtige codering voor gegevensoverdracht, beproefde methoden voor identiteitscontrole voor toegang tot bedrijfsvoorzieningen en hardwarecodering voor alle opgeslagen gegevens. Bescherming is ook verzekerd door het gebruik van beleidsregels voor toegangscodes die draadloos kunnen worden geleverd en ingesteld. En mocht het apparaat in verkeerde handen vallen, dan kunnen gebruikers en IT-beheerders alle gegevens op het apparaat op afstand wissen. De beveiliging van ios voor zakelijk gebruik valt in de volgende componenten uiteen: Apparaatbeheer. Methoden om het apparaat te beveiligen tegen ongeoorloofd gebruik Versleuteling en beveiliging van gegevens. Beveiliging van de gegevens, ook wanneer het apparaat kwijt is of gestolen wordt Netwerkbeveiliging. Netwerkprotocollen en versleuteling voor gegevensoverdracht Beveiliging van apps. Apps kunnen veilig worden gebruikt zonder de integriteit van het platform in gevaar te brengen Internetservices. De netwerkinfrastructuur van Apple voor het verzenden en ontvangen van berichten, synchronisatie en reservekopieën Deze componenten zijn met elkaar verweven en bieden zo een veilig mobiel computerplatform. De volgende toegangscodebeleidsinstellingen worden ondersteund: Toegangscode op apparaat vereist Alfanumerieke waarde vereist Minimumlengte toegangscode Minimumaantal complexe tekens Maximumgebruiksduur toegangscode Automatisch slot Geschiedenis van toegangscodes Geldigheid van toegangscodes bij vergrendeling Maximumaantal mislukte pogingen Apparaatbeveiliging Een streng toegangsbeleid voor ios-apparaten is essentieel voor het beveiligen van bedrijfsgegevens. Een apparaattoegangscode is de eerste stap in het voorkomen van toegang door onbevoegden. Deze toegangscodes kunnen draadloos worden geconfigureerd en ingesteld. Verder genereren ios-apparaten op basis van de door de gebruiker ingestelde toegangscode een krachtige coderingssleutel om s en gevoelige appgegevens op het apparaat nog beter te beveiligen. Daarnaast biedt ios veilige methoden om het apparaat in een IT-omgeving te configureren, waarbij bepaalde instellingen, beleidsinstellingen en beperkingen moeten worden opgegeven. Deze methoden bieden flexibele opties om een standaardbeveiligingsniveau in te stellen voor bevoegde gebruikers. Toegangscodebeleid Een apparaattoegangscode voorkomt dat onbevoegde gebruikers toegang hebben tot (de gegevens op) een apparaat. ios biedt een uitgebreide reeks beleidsregels voor toegangscodes om aan het gewenste beveiligingsniveau te voldoen. Denk aan time-outperiodes, toegangscodesterkte en aan de frequentie waarmee een toegangscode moet worden gewijzigd. Afdwingen van beleid Beleid kan worden gedistribueerd als onderdeel van een configuratieprofiel dat gebruikers zelf moeten installeren. Een profiel kan zo worden gedefinieerd dat het 16

17 alleen met een beheerderswachtwoord kan worden verwijderd of dat het aan het apparaat is vergrendeld en alleen kan worden verwijderd door het apparaat in zijn geheel te wissen. Daarnaast kunnen toegangscode-instellingen via MDM (Mobile Device Management, mobiel-apparaatbeheer) op afstand worden geconfigureerd zodat de beleidsinstellingen direct naar het apparaat kunnen worden gepusht. Op deze manier kunnen beleidsinstellingen zonder tussenkomst van de gebruiker worden afgedwongen en bijgewerkt. Als het apparaat is geconfigureerd voor gebruik van een Microsoft Exchangeaccount, worden de Exchange ActiveSync-beleidsinstellingen draadloos naar het apparaat verstuurd. Welke beleidsinstellingen beschikbaar zijn, is afhankelijk van de versie van Exchange ActiveSync en Exchange Server waarmee wordt gewerkt. Als er sprake is van zowel Exchange- als MDM-beleidsinstellingen, wordt de strengste instelling gebruikt. Beveiligde apparaatconfiguratie Configuratieprofielen zijn XML-bestanden met beveiligings- en beperkingsinstellingen voor het apparaat, VPN-configuratiegegevens, Wi-Fi-instellingen, - en agendaaccounts en legitimaties voor identiteitscontroles waarmee wordt toegestaan dat ios-apparaten binnen uw IT-systemen kunnen worden gebruikt. Door instellingen voor toegangscodes en apparaatinstellingen in een configuratieprofiel vast te leggen zorgt u ervoor dat apparaten binnen uw organisatie correct zijn geconfigureerd en voldoen aan de beveiligingsstandaarden van uw IT-afdeling. En aangezien configuratieprofielen zowel gecodeerd als vergrendeld kunnen zijn, kunnen de instellingen niet worden verwijderd, gewijzigd of met andere personen worden gedeeld. Configuratieprofielen kunnen zowel worden ondertekend als versleuteld. Met ondertekening van een configuratieprofiel wordt gegarandeerd dat de instellingen ervan op geen enkele manier gewijzigd kunnen worden. Met versleuteling van een configuratieprofiel wordt de inhoud van het profiel beschermd en kan het profiel alleen worden geïnstalleerd op het apparaat waarvoor het is aangemaakt. Configuratieprofielen worden versleuteld via CMS (Cryptographic Message Syntax, RFC 3852) en ondersteunen 3DES en AES 128. Als u voor de eerste keer een versleuteld configuratieprofiel distribueert, kunt u het via USB installeren met behulp van Apple Configurator, of draadloos via het "Over- The-Air Enrollment and Configuration"-protocol of MDM. Daarna kunt u versleutelde configuratieprofielen distribueren als bijlage, op een website plaatsen waartoe gebruikers toegang hebben of via MDM naar het apparaat pushen. Ga naar Over-the-Air Profile Delivery and Configuration protocol op de ios Developer Library-site voor meer informatie. Apparaatbeperkingen Met apparaatbeperkingen bepaalt u tot welke apparaatvoorzieningen gebruikers toegang hebben. Meestal gaat het hierbij om apps waarvoor een internetverbinding nodig is, zoals Safari, YouTube of de itunes Store. Daarnaast kunt u via beperkingen de functionaliteit bepalen, zoals het installeren van apps of het gebruik van de camera. Met behulp van beperkingen kunt u het apparaat naar wens configureren, terwijl gebruikers het apparaat kunnen gebruiken op manieren die overeenstemmen met het beleid van de organisatie. Beperkingen kunnen handmatig op elk apparaat worden geconfigureerd, via een configuratieprofiel worden afgedwongen of op afstand via MDM worden opgelegd. Verder kunnen er (net als toegangscodebeleid) draadloos beperkingen voor het gebruik van de camera en surfen op het web worden ingesteld via Microsoft Exchange Server 2007 en Bovendien kan een beperking worden ingesteld die ervoor zorgt dat s niet van de ene naar de andere account kunnen worden verplaatst en dat berichten die via de ene account zijn ontvangen, niet kunnen worden doorgestuurd naar een andere account. Zie Bijlage B voor meer informatie over ondersteunde beperkingen. 17

18 Versleuteling en beveiliging van gegevens Het beveiligen van gegevens op ios-apparaten is met name belangrijk in een omgeving met gevoelige informatie. Naast versleuteling van gegevens tijdens de verzending bieden ios-apparaten hardwareversleuteling voor alle gegevens op het apparaat en extra versleuteling van s en appgegevens voor betere gegevensbescherming. Als een apparaat wordt gestolen of kwijt is, is het raadzaam dit te deactiveren en te wissen. Als op ios 7 de functie Zoek mijn iphone is ingeschakeld, kan het apparaat niet opnieuw geactiveerd worden zonder de icloud-aanmeldgegevens van de eigenaar in te voeren. Het is verstandig apparaten die eigendom van de organisatie zijn onder supervisie te plaatsen, of beleidsinstellingen te gebruiken waarmee gebruikers deze voorziening kunnen uitschakelen zodat de toewijzing van het apparaat aan een ander niet wordt tegengehouden.] Meer informatie over Zoek mijn iphone is te vinden via icloud Support en icloud: Uw apparaat verwijderen van 'Zoek mijn iphone'. Versleuteling ios-apparaten bieden hardwarematige codering. Hierbij wordt gebruikgemaakt van 256-bits AES-versleuteling om alle gegevens op het apparaat te beveiligen. Versleuteling is altijd ingeschakeld en kan niet worden uitgeschakeld. Daarnaast kunnen ook reservekopiegegevens in itunes op de computer van de gebruiker worden versleuteld. Deze instelling kan door de gebruiker zelf worden ingeschakeld of door een apparaatbeperking in een configuratieprofiel worden opgelegd. ios ondersteunt S/MIME in s, waardoor versleutelde s kunnen worden gelezen en verstuurd. De cryptografische modules in ios 7 en ios 6 zijn gevalideerd en voldoen aan de Amerikaanse Federal Information Processing Standard (FIPS) Level 1. Dit garandeert de integriteit van de cryptografische bewerkingen in apps van Apple en andere fabrikanten die op de juiste manier gebruikmaken van de cryptografische voorzieningen van ios. Ga voor meer informatie naar ios-productbeveiliging: validaties en richtlijnen en ios 6: cryptografische modules met FIPS-validatie versie 3.0 van Apple voor ios. Gegevensbeveiliging s en bijlagen die op het apparaat worden bewaard, kunnen verder worden beveiligd door middel van de gegevensbeveiligingsvoorzieningen in ios. De unieke toegangscode van de gebruiker plus de hardwareversleuteling op ios-apparaten vormen samen een krachtige coderingssleutel ten behoeve van de gegevensbeveiliging. Met deze sleutel wordt voorkomen dat de gegevens op het apparaat toegankelijk zijn wanneer het apparaat is vergrendeld, zodat gevoelige gegevens zelfs in onveilige situaties afgeschermd zijn. Om gegevensbeveiliging in te schakelen, moet u een toegangscode op het apparaat instellen. Hoe sterker de toegangscode, hoe beter de gegevens worden beveiligd. Daarom is het verstandig in de instellingen voor de toegangscode op te geven dat toegangscodes uit meer dan vier cijfers moeten bestaan. Gebruikers kunnen in het scherm voor toegangscode-instellingen controleren of gegevensbescherming op hun apparaat is ingeschakeld. Dit kan ook via MDM. De API's voor gegevensbeveiliging zijn ook beschikbaar voor ontwikkelaars en kunnen worden gebruikt om gegevens in apps uit de App Store of interne apps op maat van het bedrijf te beveiligen. Vanaf ios 7 hebben de gegevens die door apps worden bewaard standaard de gegevensbeveiligingsklasse "Beveiligd tot eerste identiteitscontrole", wat vergelijkbaar is met versleuteling van de volledige harde schijf op desktopcomputers. Hiermee worden gegevens beschermd tegen aanvallen waarbij een herstart nodig is. 18

19 Opmerking: Als een apparaat is bijgewerkt vanaf IOS 6, wordt bestaande gegevensopslag niet naar de nieuwe klasse geconverteerd. Als de app wordt verwijderd en vervolgens opnieuw wordt geïnstalleerd, wordt de nieuwe beveiligingsklasse wel toegewezen. Touch ID Touch ID is de identiteitssensor voor vingerafdrukken op iphone 5s, waarmee hoogwaardige beveiliging sneller en gemakkelijker in zijn werk gaat. Deze toekomstgerichte technologie kan vingerafdrukken lezen vanuit elke hoek en leert gaandeweg meer over de vingerafdruk van de gebruiker naarmate de sensor de vingerafdrukkaart uitbreidt met extra overlappende knooppunten die met elk gebruik worden herkend. Met Touch ID wordt het gebruik van langere en meer complexe toegangscodes een stuk praktischer, aangezien de gebruikers de toegangscode minder vaak hoeven in te toetsen. Touch ID neemt ook het ongemak van vergrendeling op basis van een toegangscode weg. Niet door deze te vervangen maar door beveiligde toegang binnen aanvaardbare grenzen en een aanvaardbaar tijdsbestek te houden. Als Touch ID is ingeschakeld, wordt de iphone 5s direct vergrendeld wanneer de sluimerknop wordt ingedrukt. Bij het gebruik van alleen een toegangscode stellen veel gebruikers een time-out voor het automatisch slot in om te voorkomen dat ze telkens als ze het apparaat willen gebruiken de toegangscode weer moeten invoeren. Met Touch ID wordt de iphone 5s vergrendeld telkens als het apparaat in de sluimerstand gaat en is altijd de vingerafdruk (en optioneel de toegangscode) nodig om het apparaat uit de sluimerstand te halen. Touch ID werkt samen met de Secure Enclave een coprocessor die in de Apple A7-chip is verwerkt. De Secure Enclave beschikt over een eigen beveiligde en gecodeerde geheugenruimte en communiceert op een beveiligde manier met de Touch ID-sensor. Wanneer de iphone 5s wordt vergrendeld, worden de sleutels voor de gegevensbeveiligingsklasse "Complete" beveiligd met een sleutel die zich in het versleutelde geheugen van de Secure Enclave bevindt. De sleutel wordt maximaal 48 uur bewaard en wordt genegeerd als de iphone 5s opnieuw wordt opgestart of wanneer er vijf keer een onbekende vingerafdruk wordt gebruikt. Als een vingerafdruk wordt herkend, levert de Secure Enclave de sleutel voor het uitpakken van de gegevensbeveiligingssleutels en wordt het apparaat ontgrendeld. Wissen op afstand ios biedt de mogelijkheid om gegevens op afstand te wissen. Als een apparaat wordt gestolen of kwijt is, kan de beheerder of eigenaar van het apparaat alle gegevens op afstand wissen en het apparaat deactiveren. Als het apparaat is geconfigureerd met een Exchange-account, kan de beheerder via de Exchange Management Console (Exchange Server 2007) of de Exchange ActiveSync Mobile Administration Web-tool (Exchange Server 2003 of 2007) op afstand een wiscommando geven. Gebruikers die met Exchange Server 2007 werken, kunnen dit commando ook direct via Outlook Web Access geven. Opdrachten voor wissen op afstand kunnen ook via MDM worden gegeven, zelfs wanneer Exchange-bedrijfsvoorzieningen niet worden gebruikt. Lokaal wissen Het is ook mogelijk om tijdens de configuratie van apparaten op te geven dat de gegevens automatisch lokaal moeten worden gewist nadat er een bepaald aantal keer een onjuiste toegangscode is ingevoerd. Zo wordt het buitenstaanders direct moeilijk gemaakt om toegang te krijgen. Wanneer een toegangscode is ingesteld, kunnen gebruikers direct vanuit de instellingen op het apparaat gegevens lokaal wissen. Standaard worden gegevens lokaal gewist nadat tien keer een onjuiste toegangscode is ingevoerd. Net als bij de andere instellingen voor toegangscodebeleid kan het maximumaantal pogingen worden opgegeven via een configuratieprofiel of een MDM-server, of via Exchange ActiveSync-beleid draadloos worden afgedwongen. 19

20 Netwerkbeveiliging Ondersteuning voor Cisco IPSec, L2TP, PPTP VPN SSL VPN via App Store-apps SSL/TLS met X.509-certificaten WPA/WPA2 op bedrijfsniveau met 802.1x Identiteitscontrole via certificaten RSA SecurID, CryptoCard VPN-protocollen Cisco IPSec L2TP/IPSec PPTP SSL VPN Methoden voor identiteitscontrole Wachtwoord (MSCHAPv2) RSA SecurID CryptoCard Digitale X.509-certificaten Gedeelde geheime 802.1x-identiteitsprotocollen EAP-TLS EAP-TTLS EAP-FAST EAP-SIM PEAP versie 0, versie 1 LEAP Ondersteunde certificaatstructuren ios ondersteunt X.509-certificaten met RSA-sleutels. Herkende bestandsextensies:.cer,.crt en.der. Netwerkbeveiliging Gebruikers die veel onderweg zijn, moeten overal ter wereld toegang hebben tot het gegevensnetwerk van hun bedrijf. Hierbij is het belangrijk dat ze de juiste toegangsrechten hebben en dat hun gegevens tijdens de overdracht worden beveiligd. ios biedt beproefde technologieën om deze beveiligingstaken uit te voeren voor verbindingen via zowel Wi-Fi- als mobieletelefoonnetwerken. Net als de bestaande infrastructuur worden alle FaceTime-sessies en imessageconversaties van begin tot eind versleuteld. ios maakt voor elke gebruiker een unieke ID aan en zorgt ervoor dat de communicatie op de juiste manier wordt versleuteld, verstuurd en tot stand gebracht. VPN In veel bedrijfsomgevingen wordt een vorm van VPN (Virtual Private Network) gebruikt. Deze beveiligde netwerkvoorzieningen zijn al geïmplementeerd en vragen doorgaans om minimale instellingen en configuratie om met ios te kunnen werken. ios kan direct worden geïntegreerd met een breed scala aan veelgebruikte VPNtechnologieën. Zie "Virtual Private Networks" in hoofdstuk 1 voor meer informatie. SSL/TLS ios biedt ondersteuning voor SSL versie 3 en TLS versie 1.0, 1.1 en 1.2 (Transport Layer Security).Deze beveiligingsmechanismen worden automatisch door Safari, Agenda, Mail en andere internetapps gestart waardoor een versleuteld communicatiekanaal ontstaat tussen ios en bedrijfsvoorzieningen. WPA/WPA2 ios ondersteunt WPA2 op bedrijfsniveau om de identiteitscontrole voor toegang tot het draadloze bedrijfsnetwerk uit te voeren. WPA2 op bedrijfsniveau maakt gebruik van 128-bits AES-versleuteling en biedt gebruikers de absolute zekerheid dat hun gegevens beschermd blijven tijdens het gebruik van de Wi-Fi-netwerkverbinding. En dankzij ondersteuning voor 802.1x-identiteitscontrole kunnen iphone en ipad in uiteenlopende RADIUS-serveromgevingen worden geïntegreerd. Beveiliging van apps In ios staat veiligheid centraal. ios bevat sandboxing voor runtimebescherming van apps. Bovendien moeten apps worden ondertekend om te waarborgen dat er niet mee kan worden geknoeid. Daarnaast heeft ios een veilig framework om verificatiegegevens voor apps en netwerken op te slaan in een versleutelde opslaglocatie: de sleutelhanger. Voor ontwikkelaars biedt ios een Common Crypto-architectuur die gebruikt kan worden om de opslag van appgegevens te versleutelen. Runtimebeveiliging De apps op het apparaat worden in een sandbox geplaatst, zodat ze geen toegang hebben tot gegevens van andere apps. Bovendien worden systeembestanden, hulpbronnen en de kernel afgeschermd van de ruimte voor apps. Een app kan alleen toegang krijgen tot de gegevens van een andere app via de API's en voorzieningen van ios. Ten slotte is het genereren van code ook beveiligd. Verplichte codeondertekening Alle ios-apps moeten ondertekend zijn. Alle apps die bij het apparaat worden geleverd, zijn door Apple ondertekend. Apps van andere fabrikanten zijn ondertekend door de ontwikkelaar met een door Apple afgegeven certificaat. Dit garandeert dat er niet mee geknoeid is en dat de app niet is gewijzigd. Bovendien worden er runtimecontroles uitgevoerd zodat u er zeker van kunt zijn dat een app nog steeds vertrouwd is sinds u deze voor de laatste keer hebt gebruikt. 20