Guida tecnica di riferimento per la distribuzione di ios

Documenti analoghi
Implementare iphone e ipad Panoramica sulla sicurezza

Distribuire iphone e ipad Panoramica sulla sicurezza

Distribuire iphone e ipad Apple Configurator

iphone per le aziende Panoramica sulla sicurezza

Titolare del trattamento dei dati innanzi descritto è tsnpalombara.it

COOKIES COSA SONO I COOKIES? COME UTILIZZIAMO I COOKIES?

Implementare iphone e ipad Gestione dei dispositivi mobili (MDM)

F.A.Q. PROCEDURA SICEANT PER LE COMUNICAZIONI ANTIMAFIA (EX ART 87)

Lavorare con iphone e ipad Esempi di utilizzo in azienda

Domande frequenti su Phoenix FailSafe

ATOLLO BACKUP GUIDA INSTALLAZIONE E CONFIGURAZIONE

Guida per l utente di PrintMe Mobile 3.0

GUIDA RAPIDA. Per navigare in Internet, leggere ed inviare le mail con il tuo nuovo prodotto TIM

iphone e ipad per le imprese Scenari di distribuzione

Distribuire iphone e ipad Gestione dei dispositivi mobili (MDM)

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Servizio di accesso remoto con SSL VPN

NOTE OPERATIVE. Prodotto Inaz Download Manager. Release 1.3.0

Installazione di GFI WebMonitor

1. Il Client Skype for Business

GRUPPO CAMBIELLI. Posta elettronica (Webmail) Consigli di utilizzo

Configurazione posta su ios

Servizio di Posta elettronica Certificata (PEC)

!!! Panoramica sulla distribuzione di ios in azienda. Modelli di deployment

1. Servizio di accesso remoto con SSL VPN

Manuale per la configurazione di AziendaSoft in rete

Cookie del browser: Cookie Flash:

Il Sito web usa i cookie per raccogliere informazioni utili a

Università Degli Studi dell Insubria. Centro Sistemi Informativi e Comunicazione (SIC) Rete Wireless di Ateneo UninsubriaWireless

Overview su Online Certificate Status Protocol (OCSP)

Manuale Amministratore Legalmail Enterprise. Manuale ad uso degli Amministratori del Servizio Legalmail Enterprise

Vodafone Device Manager. La soluzione Vodafone per gestire Smartphone e Tablet aziendali in modo semplice e sicuro

PSNET UC RUPAR PIEMONTE MANUALE OPERATIVO

Servizio di Posta elettronica Certificata (PEC)

FAQ Dell Latitude ON Flash

Collegamenti. Sistemi operativi supportati. Installazione della stampante. Collegamenti

Guida di Pro PC Secure

MyFRITZ!, Dynamic DNS e Accesso Remoto

Configurazione di Outlook Express

Replica con TeraStation 3000/4000/5000/7000. Buffalo Technology

Guida alla configurazione

Studio Legale. Guida operativa

BREVE GUIDA ALL ATTIVAZIONE DEL SERVIZIO DDNS PER DVR SERIE TMX

Iniziamo ad utilizzare LiveBox ITALIANO.

Manuale Utente PEC e Client di Posta tradizionale

Servizio di Posta elettronica Certificata (PEC)

1 Introduzione Installazione Configurazione di Outlook Impostazioni manuali del server... 10

E-Post Office Manuale utente

Internet gratuita in Biblioteca e nei dintorni

Software Servizi Web UOGA

DURC Client 4 - Guida configurazione Firma Digitale. DURC Client 4.1.7

Servizio di Posta elettronica Certificata (PEC)

Configurazione del Sistema Operativo Microsoft Windows XP per accedere alla rete Wireless dedicata agli Ospiti LUSPIO

INDIRIZZI IP AUTORIZZATI

UTILIZZO DELLA RETE WIRELESS DIPARTIMENTALE

iphone in azienda Guida alla configurazione per gli utenti

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

GUIDA ALLA CONFIGURAZIONE DELLA POSTA THUNDERBIRD. (v Maggio 2014)

Classificazione: Pubblico Guida alla configurazione di DigitalSign

Manuale Utente MyFastPage

Wi-Pie Social Network Punti di accesso alla Rete Internet Manuale d'uso

La VPN con il FRITZ!Box Parte II. La VPN con il FRITZ!Box Parte II

GUIDA UTENTE WEB PROFILES

Software di gestione della stampante

Console di Amministrazione Centralizzata Guida Rapida

dopo l'installazione del componente, nei componenti aggiuntivi di Internet Explorer la voce Check Point... dovrà essere attiva

Manuale d'uso del Connection Manager

Capitolo 4 Pianificazione e Sviluppo di Web Part

Servizi Remoti. Servizi Remoti. TeamPortal Servizi Remoti

Laplink FileMover Guida introduttiva

IBM SPSS Statistics per Linux - Istruzioni di installazione (Licenza per sito)

Manuale LiveBox APPLICAZIONE ANDROID.

Configurazione client di posta elettronica per il nuovo servizio . Parametri per la Configurazione dei client di posta elettronica

Mail Cube Guida utente

Guida rapida alla Webconferencing

Iniziamo ad utilizzare LiveBox ITALIANO.

Utilizzo della APP IrriframeVoice. Versione 1.0 maggio 2015

Interfaccia KNX/IP Wireless GW Manuale Tecnico

POLICY COOKIE Gentile visitatore,

Sistema di accesso ad internet tramite la rete Wireless dell Università di Bologna

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Guida all Utilizzo dell Applicazione Centralino

Cookie Policy per

1. Manuale d uso per l utilizzo della WebMail PEC e del client di posta tradizionale

Cookie. Krishna Tateneni Jost Schenck Traduzione: Luciano Montanaro

ICARO Terminal Server per Aprile

Consiglio regionale della Toscana. Regole per il corretto funzionamento della posta elettronica

Servizi remoti Xerox Un passo nella giusta direzione

Windows XP Istruzioni rete wired per portatili v1.0

Procedura di abilitazione alla Rete di Lombardia Integrata

Manuale LiveBox APPLICAZIONE IOS.

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

UTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI

Primo accesso al sistema, vincoli nuova password 5. Esempio di accesso attraverso Interfaccia Webmail 7

Manuale LiveBox APPLICAZIONE ANDROID.

Manuale Helpdesk Ecube

INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI

progecad NLM Guida all uso Rel. 10.2

Panoramica sulla distribuzione di ios in azienda

Domande e risposte su Avira ProActiv Community

Transcript:

Guida tecnica di riferimento per la distribuzione di ios ios 7.1 Maggio 2014

Contenuti Pagina 3 Introduzione Pagina 4 Capitolo 1: Integrazione Pagina 4 Microsoft Exchange Pagina 6 Servizi basati su standard Pagina 6 Wi-Fi Pagina 7 Virtual Private Network Pagina 13 Per App VPN Pagina 13 Single Sign-On Pagina 14 Certificati digitali Pagina 15 Bonjour Pagina 16 Capitolo 2: Sicurezza Pagina 16 Sicurezza del dispositivo Pagina 18 Crittografia e protezione dei dati Pagina 20 Sicurezza della rete Pagina 20 Sicurezza delle app Pagina 21 Servizi internet Pagina 23 Capitolo 3: Configurazione e gestione Pagina 23 Setup e attivazione del dispositivo Pagina 24 Profili di configurazione Pagina 24 Mobile Device Management (MDM) Pagina 27 Supervisione dei dispositivi Pagina 28 Capitolo 4: Distribuzione di app Pagina 28 Volume Purchase Program Pagina 30 App B2B personalizzate Pagina 30 App in-house Pagina 31 Distribuire le app Pagina 33 Caching Server Pagina 34 Appendice A: Infrastruttura Wi-Fi Pagina 37 Appendice B: Restrizioni Pagina 39 Appendice C: Installare app in-house in wireless 2

Introduzione Questa guida si rivolge agli amministratori IT che vogliono gestire i dispositivi ios sulle proprie reti. Contiene informazioni sulla distribuzione e la gestione di iphone, ipad e ipod touch in un organizzazione di grandi dimensioni, come un azienda o una scuola. Spiega come i dispositivi ios forniscano sicurezza totale, integrazione con le infrastrutture esistenti e potenti strumenti per la distribuzione. Comprendere le tecnologie chiave supportate da ios ti aiuterà a adottare una strategia di distribuzione in grado di offrire ai tuoi utenti un esperienza ottimale. Puoi utilizzare i seguenti capitoli come riferimento tecnico durante la distribuzione dei dispositivi ios nella tua organizzazione. Integrazione. I dispositivi ios supportano da subito un ampia gamma di infrastrutture di rete. Questa sezione spiega quali sono le tecnologie usate da ios e alcune best practice per l integrazione con Microsoft Exchange, Wi-Fi, VPN e altri servizi standard. Sicurezza. ios è progettato per accedere in modo sicuro ai servizi aziendali e proteggere i dati importanti. ios fornisce una solida crittografia per i dati in trasmissione, metodi di autenticazione collaudati per accedere ai servizi aziendali e crittografia hardware per tutti i dati archiviati. Leggi questo capitolo per saperne di più sulle funzioni di sicurezza di ios. Configurazione e gestione. ios supporta tecnologie e strumenti evoluti che ti permettono di impostare facilmente i dispositivi, di configurarli secondo le tue esigenze e di gestirli agevolmente in un ambiente di grandi dimensioni. Questo capitolo descrive gli strumenti disponibili per la distribuzione, inclusa una panoramica sulla gestione dei dispositivi mobili (MDM). Distribuzione di app. Esistono vari modi per distribuire app e contenuti nella tua azienda. I programmi ideati da Apple, come il Volume Purchase Program e l ios Developer Enterprise Program, consentono alla tua organizzazione di acquistare, sviluppare e distribuire app per i tuoi utenti. Leggi questo capitolo per scoprire i dettagli di questi programmi e come distribuire le app acquistate o sviluppate per l uso in azienda. Le appendici contengono ulteriori dettagli tecnici e requisiti: Infrastruttura Wi-Fi. Dettagli sugli standard Wi-Fi supportati da ios e sugli aspetti da considerare quando si progetta una rete Wi-Fi di grandi dimensioni. Restrizioni. Dettagli sulle restrizioni che puoi utilizzare per configurare i dispositivi ios in base alle tue esigenze in materia di sicurezza, codici di accesso e altro. Installare app in-house in wireless. Dettagli e requisiti per distribuire app in-house usando il tuo portale web. Risorse aggiuntive Per trovare altre informazioni utili, consulta i seguenti siti web: www.apple.com/ipad/business/it www.apple.com/iphone/business/it www.apple.com/education/it 3

Capitolo 1: Integrazione I dispositivi ios funzionano da subito con un ampia gamma di infrastrutture di rete. Per esempio, supportano: i principali sistemi di altri produttori, come Microsoft Exchange; l integrazione con email, directory, calendari e altri sistemi basati su standard; i protocolli Wi-Fi standard per la trasmissione e la crittografia dei dati; le reti VPN, inclusa la funzione Per app VPN; il Single Sign-On per semplificare l autenticazione alle app e ai servizi di rete; i certificati digitali per autenticare l accesso degli utenti e proteggere le comunicazioni. Poiché il supporto è integrato in ios, il reparto IT dovrà soltanto configurare alcune impostazioni per integrare i dispositivi nell infrastruttura esistente. Continua a leggere per conoscere le tecnologie usate da ios e alcune best practice per l integrazione. Microsoft Exchange ios comunica direttamente con il tuo server Microsoft Exchange tramite Microsoft Exchange ActiveSync (EAS), per avere email, calendari, contatti e task con tecnologia push. Inoltre Exchange ActiveSync permette agli utenti di accedere alla Global Address List (GAL), e agli amministratori di controllare i criteri di accesso e le azioni di cancellazione a distanza. ios supporta sia l autenticazione di base sia quella via certificato per Exchange ActiveSync. Se nella tua azienda è attivo Exchange ActiveSync, disponi già dei servizi necessari per supportare ios e non occorre un ulteriore configurazione. Requisiti I dispositivi con ios 7 o successivo supportano le seguenti versioni di Microsoft Exchange: Exchange Server 2003 SP 2 (EAS 2.5) Exchange Server 2007 (con utilizzo di EAS 2.5) Exchange Server 2007 SP 1 (EAS 12.1) Exchange Server 2007 SP 2 (EAS 12.1) Exchange Server 2007 SP 3 (EAS 12.1) Exchange Server 2010 (EAS 14.0) Exchange Server 2010 SP 1 (EAS 14.1) Exchange Server 2010 SP 2 (con utilizzo di EAS 14.1) Exchange Server 2013 (con utilizzo di EAS 14.1) Office 365 (con utilizzo di EAS 14.1) Microsoft Direct Push Quando è disponibile una connessione dati Wi-Fi o cellulare, Exchange Server invia automaticamente email, task, contatti ed eventi di calendario ai dispositivi ios. ipod touch e alcuni modelli di ipad non possono collegarsi alla rete cellulare, quindi ricevono le notifiche push solo quando accedono al Wi-Fi. 4

Individuazione automatica di Microsoft Exchange ios supporta il servizio di individuazione automatica di Microsoft Exchange Server 2007 e Microsoft Exchange Server 2010. Durante la configurazione manuale del dispositivo, il servizio usa il tuo indirizzo email e la tua password per determinare le corrette informazioni sul server Exchange. Per maggiori informazioni su come attivare il servizio di individuazione automatica, vai alla pagina Servizio di individuazione automatica. Global Access List di Microsoft Exchange I dispositivi ios recuperano i contatti dalla directory aziendale del server Exchange. Quando fai ricerche in Contatti puoi accedere alla directory, che viene anche consultata automaticamente per completare gli indirizzi email mentre li scrivi. ios 6 e successivi supportano le foto della GAL (richiede Exchange Server 2010 SP 1 o successivo). Funzioni di Exchange ActiveSync non supportate Le funzioni di Exchange elencate di seguito non sono supportate. Apertura di link nelle email verso documenti archiviati su server SharePoint Impostazione di una risposta automatica con messaggio di assenza Identificazione delle versioni di ios tramite Exchange Quando si connette a un server Exchange, il dispositivo segnala la propria versione ios. Il numero di versione viene inviato nel campo User-agent dell intestazione della richiesta ed è simile a Apple-iPhone2C1/705.018. Il numero dopo il delimitatore (/) è il numero di build univoco per ciascuna versione di ios. Per visualizzare il numero di build su un dispositivo, apri Impostazioni > Generali > Info. Vedrai il numero di versione e il numero di build, per esempio 4.1 (8B117A). Il numero tra parentesi è il numero di build e identifica la release installata sul dispositivo. Quando il numero di build viene inviato al server Exchange, viene convertito dal formato NANNNA (dove N è un numero e A è una lettera) al formato Exchange NNN.NNN. I valori numerici vengono mantenuti, mentre le lettere convertite nel valore corrispondente alla posizione occupata nell alfabeto. Per esempio, F diventerà 06 perché è la sesta lettera dell alfabeto. Se necessario, tra i numeri vengono inseriti degli zeri per adattarli al formato di Exchange. In questo esempio, il numero di build 7E18 è stato convertito in 705.018. Il primo numero, 7, rimane 7. Il carattere E è la quinta lettera dell alfabeto, per cui diventa 05. Nella versione convertita viene inserito un punto (.) come richiesto dal formato. Al numero successivo, 18, viene anteposto uno zero per convertirlo in 018. Se il numero di build termina con una lettera, per esempio 5H11A, il numero viene convertito come descritto sopra e il valore numerico dell ultimo carattere viene aggiunto in fondo alla stringa separato da 3 zeri: 5H11A diventa quindi 508.01100001. Cancellazione a distanza Exchange offre funzioni che ti consentono di cancellare a distanza i contenuti di un dispositivo ios. La cancellazione rimuove tutti i dati e le informazioni di configurazione presenti sul dispositivo, che viene inizializzato e riportato alle impostazioni di fabbrica originali. La cancellazione rimuove la chiave di crittografia dei dati (crittografati con AES a 256 bit); questo processo è immediato e rende tutti i dati irrecuperabili. Con Microsoft Exchange Server 2007 o successivo, puoi avviare una cancellazione a distanza da Exchange Management Console, Outlook Web Access o Exchange ActiveSync Mobile Administration Web Tool. Con Microsoft Exchange Server 2003, puoi farlo usando usando Microsoft Exchange ActiveSync Mobile Administration Web Tool. 5

In alternativa, gli utenti possono inizializzare il proprio dispositivo andando in Impostazioni > Generali > Ripristina e scegliendo Cancella contenuto e impostazioni. Inoltre puoi configurare i dispositivi perché vengano automaticamente inizializzati dopo un determinato numero di tentativi falliti di inserimento del codice. Servizi basati su standard Poiché supporta il protocollo di posta IMAP, i servizi di directory LDAP, i calendari CalDAV e i contatti CardDAV, ios può integrarsi con praticamente qualsiasi ambiente basato su standard. Se il tuo ambiente di rete è configurato per richiedere l autenticazione dell utente e SSL, ios fornisce un approccio molto sicuro per accedere a email, calendari, task e contatti dell azienda. Con SSL, ios supporta la crittografia a 128 bit e i certificati root X.509 generati dalle principali autorità di certificazione. In una distribuzione tipica, i dispositivi ios stabiliscono un accesso diretto ai server di posta IMAP e SMTP per ricevere e inviare email over-the-air, e possono sincronizzare le note in wireless con i server IMAP. I dispositivi ios possono inoltre connettersi alle directory LDAPv3 della tua impresa, permettendo agli utenti di accedere ai contatti aziendali nelle app Mail, Contatti e Messaggi. La sincronizzazione con il tuo server CalDAV consente agli utenti di creare e accettare inviti, di ricevere gli aggiornamenti del calendario e di sincronizzare i task con l app Promemoria, tutto in wireless. Inoltre grazie al supporto CardDAV è possibile mantenere un gruppo di contatti sincronizzato con il tuo server CardDAV usando il formato vcard. Tutti i server di rete possono trovarsi all interno di una sottorete demilitarizzata (DMZ), dietro un firewall aziendale o in entrambe le posizioni. Wi-Fi I dispositivi ios possono collegarsi fin da subito in modo sicuro alle reti Wi-Fi aziendali o guest, permettendo agli utenti di accedere velocemente alle reti wireless quando sono in sede o in viaggio. Connettersi a una rete Wi-Fi Gli utenti possono impostare i dispositivi ios affinché si colleghino automaticamente alle reti Wi-Fi disponibili. Nel caso siano richieste credenziali di accesso o altre informazioni, è possibile collegarsi direttamente dalle impostazioni Wi-Fi o da app come Mail, senza aprire una sessione separata del browser. Inoltre la connettività Wi-Fi persistente e a bassa potenza consente alle app di utilizzare le reti wireless per inviare notifiche push. WPA2 Enterprise ios supporta i protocolli di rete wireless standard di settore, tra cui WPA2 Enterprise, grazie ai quali è possibile accedere in modo sicuro alle reti Wi-Fi aziendali dal dispositivo. WPA2 Enterprise utilizza lo standard AES a 128 bit, un collaudato metodo di crittografia a blocchi che fornisce il massimo livello di protezione dei dati. Grazie al supporto di 802.1X, ios si può integrare in un ampia gamma di ambienti di autenticazione RADIUS. I metodi di autenticazione wireless 802.1X supportati da ios comprendono: EAP-TLS, EAP-TTLS, EAP-FAST, PEAPv0, PEAPv1 e LEAP. 6

Roaming Per consentire il roaming all interno delle reti Wi-Fi aziendali di grandi dimensioni, ios è compatibile con i protocolli 802.11k e 802.11r. Lo standard 802.11k agevola la transizione dei dispositivi ios da un punto di accesso Wi-Fi all altro utilizzando i report dei punti di accesso stessi, mentre lo standard 802.11r semplifica l autenticazione 802.1X quando un dispositivo passa da un punto all altro. Per un setup e una distribuzione veloci, puoi configurare le impostazioni per rete wireless, sicurezza, proxy e autenticazione tramite i profili di configurazione o via MDM. Virtual Private Network I protocolli VPN standard di settore consentono l accesso sicuro alle reti aziendali da ios. ios supporta fin da subito Cisco IPSec, L2TP su IPSec e PPTP. Se la tua organizzazione supporta uno di questi protocolli, per collegare i dispositivi ios alla VPN non servono altre configurazioni di rete o app aggiuntive di altri sviluppatori. Inoltre ios supporta le VPN SSL dei principali provider VPN. Gli utenti devono solo scaricare dall App Store un applicazione client VPN sviluppata da una di questi produttori. Come altri protocolli VPN supportati da ios, anche VPN SSL può essere configurato sul dispositivo manualmente, tramite un profilo di configurazione o via MDM. ios supporta le tecnologie standard di settore come IPv6, i server proxy e lo split tunneling, assicurando la disponibilità di tutte le funzioni VPN durante il collegamento alle reti aziendali. Inoltre ios è compatibile con un ampia gamma di metodi di autenticazione, tra cui password, token a due fattori e certificati digitali. Per semplificare il collegamento negli ambienti dove si usa l autenticazione basata su certificati, ios include la funzione VPN su richiesta, che avvia una sessione VPN quando ci si deve collegare a domini specificati. ios 7 consente di configurare singole app affinché utilizzino una connessione VPN diversa da quella delle altre app sul dispositivo. In questo modo si è certi che i dati aziendali viaggino sempre sulla connessione VPN, e che questa non venga utilizzata per altri dati, come le app personali che il dipendente ha scaricato dall App Store. Per maggiori dettagli, vai al paragrafo Per app VPN di questo capitolo. Protocolli e metodi di autenticazione supportati VPN SSL. Supporta l autenticazione utente tramite password, token a due fattori e certificati. Cisco IPSec. Supporta l autenticazione utente tramite password, token a due fattori e l autenticazione automatica mediante segreto condiviso e certificati. L2TP su IPSec. Supporta l autenticazione utente tramite password MS-CHAP v2, token a due fattori e l autenticazione automatica mediante segreto condiviso. PPTP. Supporta l autenticazione utente mediante password MS-CHAP v2 e token a due fattori. Client VPN SSL Diversi fornitori VPN SSL hanno creato app che aiutano a configurare i dispositivi ios per utilizzarli con le rispettive soluzioni. Per configurare un dispositivo per una soluzione specifica, scarica l app abbinata e, se lo desideri, fornisci un profilo di configurazione con le impostazioni necessarie. Le soluzioni VPN SSL includono: VPN SSL Juniper Junos Pulse. ios supporta i gateway VPN SSL Juniper Networks SA Series versione 6.4 e successive con pacchetto IVE Juniper Networks versione 7.0 e successive. Per configurare, installa l app Junos Pulse, disponibile sull App Store. Per maggiori informazioni, consulta la nota di Juniper Networks. 7

VPN SSL F5. ios supporta le soluzioni VPN SSL F5 BIG-IP Edge Gateway, Access Policy Manager e FirePass. Per configurare, installa l app F5 BIG-IP Edge Client, disponibile sull App Store. Per maggiori informazioni, consulta la panoramica tecnica di F5, Accesso sicuro alle applicazioni web aziendali tramite iphone. VPN SSL Aruba Networks. ios supporta Aruba Networks Mobility Controller. Per configurare, installa l app Aruba Networks VIA, disponibile sull App Store. Per i contatti, visita il sito web di Aruba Networks. VPN SSL SonicWALL. ios supporta le apparecchiature SonicWALL Aventall E-Class Secure Remote Access (SRA) con software 10.5.4 o successivo, SonicWALL SRA con software 5.5 o successivo, e SonicWALL Next-Generation Firewall, tra cui i dispositivi TZ, NSA e E-Class NSA con SonicOS 5.8.1.0 o successivo. Per configurare, installa l app SonicWALL Mobile Connect, disponibile sull App Store. Per i contatti, visita il sito web di SonicWALL. VPN SSL Check Point Mobile. ios supporta Check Point Security Gateway con un tunnel VPN full Layer-3. Per configurare, installa l app Check Point Mobile, disponibile sull App Store. VPN SSL OpenVPN. ios supporta OpenVPN Access Server, Private Tunnel e OpenVPN Community. Per configurare, installa l app OpenVPN Connect, disponibile sull App Store. VPN SSL Palo Alto Networks GlobalProtect. ios supporta il gateway GlobalProtect di Palo Alto Networks. Per configurare, installa l app GlobalProtect for ios, disponibile sull App Store VPN SSL Cisco AnyConnect. ios supporta Cisco Adaptive Security Appliance (ASA) immagine software 8.0(3).1 o successiva. Per configurare, installa l app Junos Cisco AnyConnect, disponibile sull App Store. Linee guida per la configurazione di una VPN Linee guida per la configurazione di Cisco IPSec Utilizza queste linee guida per configurare il server Cisco VPN per l utilizzo con dispositivi ios. ios supporta i prodotti Cisco ASA 5500 Security Appliances e PIX Firewall configurati con il software 7.2.x o successivo. È consigliabile usare l ultima release del software (8.0.x o successiva). ios supporta anche i router Cisco IOS VPN con IOS versione 12.4(15)T o successiva. I concentratori serie VPN 3000 non supportano le funzioni VPN di ios. Configurazione proxy Per tutte le configurazioni è anche possibile specificare un proxy VPN. Per configurare un solo proxy per tutte le connessioni, utilizza l impostazione manuale e, se necessario, fornisci i dati relativi a indirizzo, porta e autenticazione. Per fornire al dispositivo un file di configurazione proxy automatico mediante PAC e WPAD, puoi utilizzare l impostazione automatica. Per PAC, indica l URL del file corrispondente. Per WPAD, ios ottiene le necessarie impostazioni dai server DHCP e DNS. 8

Metodi di autenticazione ios supporta i seguenti metodi di autenticazione: Autenticazione IPSec con chiave pre-condivisa con autenticazione utente via xauth. Certificati client e server per autenticazione IPSec con autenticazione utente facoltativa via xauth. Autenticazione ibrida in cui il server fornisce un certificato e il client fornisce una chiave pre-condivisa per l autenticazione IPSec. L autenticazione utente è richiesta via xauth. L autenticazione utente è effettuata via xauth e comprende i seguenti metodi di autenticazione: Nome utente con password RSA SecurID CRYPTOCard Gruppi di autenticazione Il protocollo Cisco Unity usa gruppi di autenticazione per riunire gli utenti in base a un set comune di parametri di autenticazione e altri criteri. Dovresti creare un gruppo di autenticazione per gli utenti ios. Per l autenticazione mediante chiave pre-condivisa e ibrida, sul dispositivo occorre configurare il nome del gruppo con la relativa chiave pre-condivisa definita come password di gruppo. L autenticazione con certificato non richiede una chiave condivisa. Il gruppo dell utente viene stabilito in base ai campi presenti nel certificato. Puoi usare l e impostazioni del server Cisco per mappare i campi di un certificato con i gruppi di utenti. RSA-Sig dovrebbe essere la massima priorità nell elenco priorità ISAKMP. Certificati Durante la configurazione e l installazione dei certificati, verifica quanto segue. Il certificato di identità del server deve contenere il nome DNS e/o l indirizzo IP nel campo del nome alternativo del soggetto (SubjectAltName). Il dispositivo usa queste informazioni per verificare che il certificato appartenga al server. Per una maggiore flessibilità, puoi specificare il valore SubjectAltName utilizzando i caratteri jolly per la corrispondenza dei vari segmenti, per esempio vpn.*.miasocieta.com. Se non viene specificato il valore SubjectAltName, puoi inserire il nome DNS nel campo del nome comune. Sul dispositivo deve essere installato il certificato della CA che ha firmato il certificato del server. Se non si tratta di un certificato root, installa la parte rimanente della catena di trust in modo da garantire l attendibilità del certificato. Se usi certificati client, verifica che sul server VPN sia installato il certificato della CA attendibile che ha firmato il certificato del client. Quando usi l autenticazione con certificato, assicurati che il server sia configurato in modo da identificare il gruppo dell utente in base ai campi presenti nel certificato del client. I certificati e le autorità di certificazione devono essere validi (per esempio, non scaduti). L invio della catena di certificazione da parte del server non è supportato e andrebbe disattivato. 9

Impostazioni IPSec Utilizza le seguenti impostazioni IPSec: Modalità. Modalità Tunnel. Modalità scambio IKE. Modalità Aggressive per l autenticazione con chiave pre-condivisa e ibrida o modalità Main per l autenticazione con certificato. Algoritmi di codifica. 3DES, AES-128, AES-256. Algoritmi di autenticazione. HMAC-MD5, HMAC-SHA1. Gruppi Diffie-Hellman. L autenticazione con chiave pre-condivisa e ibrida richiede il gruppo 2. Per l autenticazione con certificato, usa il gruppo 2 con 3DES e AES-128. Usa il gruppo 2 o 5 con AES-256. PFS (Perfect Forward Secrecy). Per IKE fase 2, se usi il PFS il gruppo Diffie-Hellman deve essere lo stesso usato per IKE fase 1. Configurazione modalità. Attivata. Rilevamento dead peer. Consigliato. Attraversamento NAT standard. Supportato e attivabile, se necessario (IPSec su TCP non supportato). Bilanciamento del carico. Supportato e attivabile. Re-key della fase 1. Attualmente non supportato. Consigliamo di impostare tempi di re-key sul server a un ora. Maschera indirizzo ASA. Verifica che tutte le maschere del pool di indirizzi non siano impostate o siano impostate su 255.255.255.255. Per esempio: asa(configwebvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 maschera 255.255.255.255. Se utilizzi la maschera indirizzo consigliata, alcuni percorsi adottati dalla configurazione VPN potrebbero venire ignorati. Per evitarlo, assicurati che la tabella di instradamento contenga tutti i percorsi necessari e verifica che gli indirizzi di sottorete siano accessibili prima procedere alla distribuzione. Altre funzioni supportate Versione app. La versione del software client viene inviata al server, per consentire di accettare o respingere le connessioni in base alla versione software del dispositivo. Banner. Se impostato sul server, il banner viene visualizzato sul dispositivo e l utente deve accettarlo o disconnettersi. Split tunneling. Supportato. Split DNS. Supportato. Dominio predefinito. Supportato. 10

VPN su richiesta VPN su richiesta consente ad ios di stabilire automaticamente una connessione sicura senza che l utente faccia nulla. La connessione VPN viene avviata quando necessario, in base alle regole definite da un profilo di configurazione. In ios 7, VPN su richiesta si configura usando la chiave OnDemandRules in un payload VPN di un profilo di configurazione. Le regole vengono applicate in due fasi. Fase di rilevamento della rete. Definisce i requisiti VPN applicati quando cambia la connessione di rete primaria del dispositivo. Fase di valutazione della connessione. Definisce i requisiti VPN per le richieste di connessione a nomi dominio, quando necessarie. Per esempio, le regole si possono usare per: riconoscere se un dispositivo ios è connesso a una rete interna e non serve una VPN; riconoscere se si utilizza una rete Wi-Fi sconosciuta e serve una VPN per tutte le attività di rete; richiedere una VPN quando una richiesta DNS per un nome dominio specifico non va a buon fine. Fase di rilevamento della rete Le regole per la VPN su richiesta vengono valutate quando cambia l interfaccia di rete primaria del dispositivo, come quando un dispositivo ios si connette a una rete Wi-Fi diversa, o passa dal Wi-Fi alla rete cellulare. Se l interfaccia primaria è virtuale, come un interfaccia VPN, le regole per la VPN su richiesta vengono ignorate. Le regole di matching di ogni set (dizionario) devono tutte corrispondere affinché l azione a esse associata venga intrapresa; se una qualsiasi di queste regole non corrisponde, la valutazione passa al dizionario successivo, e così via, finché l array OnDemandRules è esaurito. L ultimo dizionario dovrebbe definire una configurazione di default, cioè non dovrebbe avere alcuna regola di matching, ma solo un azione che catturerà tutte le connessioni che non corrispondevano alle regole precedenti. Fase di valutazione della connessione La VPN può essere attivata quando serve in base alle richieste di connessione ad alcuni domini, invece di collegarsi e scollegarsi alla VPN in base all interfaccia di rete. Regole di matching su richiesta Specifica una o più delle seguenti regole di matching: InterfaceTypeMatch. Facoltativo. Un valore della stringa che rappresenta Wi-Fi o cellulare. Se specificata, c è il match quando l interfaccia hardware primaria è del tipo specificato. SSIDMatch. Facoltativo. Un array di SSID da confrontare con la rete attuale. Se la rete non è WI-Fi o se il suo SSID non appare nell elenco, non ci sarà alcun match. Per ignorare il SSID, ometti questa chiave e il suo array. DNSDomainMatch. Facoltativo. Un array di domini di ricerca sotto forma di stringhe. Se il dominio di ricerca DNS configurato per la rete primaria attuale è incluso nell array, ci sarà un match. È supportato il prefisso jolly (*), come in *.esempio.com che corrisponde a qualsiasi.esempio.com. 11

DNSServerAddressMatch. Facoltativo. Un array di indirizzi di server DNS sotto forma di stringhe. Se l array contiene tutti gli indirizzi di server DNS configurati al momento per l interfaccia primaria, ci sarà un match. È supportato il carattere jolly (*), per esempio 1.2.3.* corrisponde a qualsiasi server DNS con prefisso 1.2.3. URLStringProbe. Facoltativo. Un server per sondare la raggiungibilità. Il reindirizzamento non è supportato. L URL dovrebbe puntare a un server HTTPS affidabile. Il dispositivo invia una richiesta GET per verificare che il server sia raggiungibile. Action Questa chiave definisce il comportamento della VPN qualora tutte le regole di matching specificate vengano valutate come vere. È una chiave obbligatoria, e i suoi valori sono: Connect. Avvia la connessione VPN in maniera incondizionata al tentativo successivo di connettersi a una rete. Disconnect. Interrompe la connessione alla VPN e non avvia alcuna nuova connessione su richiesta. Ignore. Mantiene le connessioni alla VPN esistenti, ma non avvia nuove connessioni su richiesta. Allow. Per i dispositivi con ios 6 o precedente. Vedi il paragrafo Note sulla compatibilità retroattiva, più avanti in questa sezione. EvaluateConnection. Valuta gli ActionParameters per ogni tentativo di connessione. Quando si utilizza, per specificare le regole di valutazione è richiesta la chiave ActionParameters descritta di seguito. ActionParameters Un array di dizionari contenenti le chiavi descritte di seguito, valutati nell ordine in cui si presentano. Obbligatoria quando il valore Action è EvaluateConnection. Domains. Obbligatorio. Un array di stringhe che definiscono i domini cui si applica questa valutazione. Sono supportati i prefissi jolly, come in *.esempio.com. DomainAction. Obbligatorio. Definisce il comportamento della VPN per i domini. Il valori per la chiave DomainAction sono: ConnectIfNeeded. Attiva la VPN se la risoluzione DNS per il dominio non va a buon fine, per esempio quando il server DNS dice che non riesce a risolvere il nome dominio, se la risposta DNS viene reindirizzata o se la connessione non riesce o scade. NeverConnect. Non attiva alcuna VPN per i domini. Quando DomainAction è ConnectIfNeeded, puoi anche specificare le seguenti chiavi nel dizionario di valutazione della connessione. RequiredDNSServers. Facoltativo. Un array di indirizzi IP di server DNS da usare per risolvere i domini. Non è necessario che questi server facciano parte della configurazione di rete attuale del dispositivo. Se non sono raggiungibili, la VPN non viene attivata. Configura un server DNS interno o un server DNS esterno affidabile. RequiredURLStringProbe. Facoltativo. Un URL HTTP o HTTPS (preferibile) per il probing tramite richiesta GET. Se la risoluzione DNS per questo server va a buon fine, deve riuscire anche il probing. Se fallisce, viene attivata la VPN. 12

Note sulla compatibilità retroattiva Prima di ios 7, le regole che attivavano i domini venivano configurate tramite array di domini chiamati OnDemandMatchDomainAlways, OnDemand MatchDomainOnRetry e OnDemandMatchDomainNever. ios 7 supporta ancora i casi OnRetry e Never, benché siano stati abbandonati a favore dell azione EvaluateConnection. Per creare un profilo che funzioni sia con ios 7 sia con le versioni precedenti, usa le nuove chiavi EvaluateConnection in aggiunta agli array OnDemandMatchDomain. Le versioni precedenti di ios che non riconoscono EvaluateConnection utilizzeranno i vecchi array, mentre ios 7 e le versioni successive useranno EvaluateConnection. I vecchi profili di configurazione che specificano l azione Allow funzioneranno su ios 7, ad eccezione dei domini OnDemandMathcDomainsAlways. Per App VPN ios 7 aggiunge la possibilità di stabilire connessioni VPN per le singole app. Questo approccio consente di controllare accuratamente quali dati viaggiano sulla VPN e quali no. Con una connessione VPN per l intero dispositivo, tutti i dati viaggiano sulla rete privata indipendentemente dalla loro origine. Nelle aziende si usano sempre più spesso i dispositivi personali, e Per app VPN offre una connessione in rete protetta per le app interne, salvaguardando la privacy delle attività personali. La funzione Per app VPN consente a ogni app gestita via MDM di comunicare con la rete privata attraverso un tunnel sicuro, escludendo tutte le altre app non gestite presenti sul dispositivo. Inoltre le app gestite possono essere configurate con connessioni VPN diverse per un ulteriore protezione dei dati. Per esempio, un app per i preventivi può utilizzare un centro dati completamente diverso da quello di un app per gli acquisti, mentre il traffico web dell utente viaggia su una connessione internet pubblica. La possibilità di separare il traffico a livello di app permette di tenere divisi i dati personali da quelli di proprietà dell azienda. Per usare la funzione Per app VPN, l app deve essere gestita via MDM e utilizzare le API di rete standard di ios. La funzione si imposta con una configurazione MDM che specifica le app e i domini di Safari cui è consentito l utilizzo dei parametri. Per maggiori informazioni sulla MDM, vai al Capitolo 3: Configurazione e gestione. Single Sign-On (SSO) Con ios 7, le app possono sfruttare l infrastruttura Single Sign-On in-house già esistente tramite Kerberos. Il Single Sign-On può migliorare l esperienza utente richiedendo di inserire la password soltanto una volta. Migliora anche la sicurezza dell utilizzo quotidiano delle app impedendo che le password vengano trasmesse over-the-air. Il sistema di autenticazione Kerberos usato da ios è una tecnologia Single Sign-On standard di settore, la più diffusa nel mondo. Se hai Active Directory, edirectory o OpenDirectory, probabilmente hai già un sistema Kerberos che ios può utilizzare. Per autenticare gli utenti, i dispositivi ios devono poter contattare il servizio Kerberos attraverso una connessione di rete. 13

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back