ios Dağıtımı ios 7.1 Mayıs 2014

Transkript

1 ios Dağıtımı Teknik Başvuru ios 7.1 Mayıs 2014

2 İçindkiler Sayfa 3 Sayfa 4 Sayfa 4 Sayfa 6 Sayfa 6 Sayfa 7 Sayfa 13 Sayfa 13 Sayfa 14 Sayfa 15 Giriş Bölüm 1: Entegrasyon Microsoft Exchange Standartlara Dayalı Hizmetler Wi-Fi Sanal Özel Ağlar Per App VPN Tek Şifre Dijital Sertifikalar Bonjour Sayfa 16 Bölüm 2: Güvenlik Sayfa 16 Sayfa 18 Sayfa 20 Sayfa 20 Sayfa 21 Aygıt Güvenliği Şifreleme ve Veri Koruması Ağ Güvenliği Uygulama Güvenliği İnternet Hizmetleri Sayfa 23 Bölüm 3: Yapılandırma ve Yönetim Sayfa 23 Sayfa 24 Sayfa 24 Sayfa 27 Aygıt Kurulumu ve Etkinleştirme Yapılandırma Profilleri Mobil Aygıt Yönetimi (MDM) Aygıt Denetimi Sayfa 28 Bölüm 4: Uygulama Dağıtımı Sayfa 30 Sayfa 31 Uygulamaları Dağıtma Önbellek Sunucusu Sayfa 32 Ek A: Wi-Fi Altyapısı Sayfa 35 Ek B: Sınırlamalar Sayfa 37 Ek C: Şirket İçi Uygulamaları Kablosuz Yükleme 2

3 Giriş Bu kılavuz ağlarındaki ios aygıtlarını desteklemek isteyen IT yöneticileri içindir. Kurumsal şirket veya eğitim kurumu gibi büyük ölçekli kuruluşlarda iphone, ipad ve ipod touch'ların dağıtımı ve desteklenmesi ile ilgili bilgiler vermektedir. ios aygıtlarının nasıl kapsamlı bir güvenlik, mevcut altyapınızla entegrasyon ve dağıtım için güçlü araçlar sağladığını açıklamaktadır. ios'ta desteklenen temel teknolojilerin anlaşılması kullanıcılarınız için optimum bir deneyim stratejisi uygulamanıza yardımcı olacaktır. Aşağıdaki bölümler kuruluşunuzda ios aygıtlarını dağıtırken kullanabileceğiniz bir teknik başvuru belgesi işlevine sahiptir. Entegrasyon. ios aygıtları çok çeşitli ağ altyapıları için yerleşik destek sunar. Bu bölümde, ios tarafından desteklenen teknolojiler ve Microsoft Exchange, Wi-Fi, VPN ve diğer standart hizmetleri entegre etmek için en iyi uygulamalar hakkında bilgi edineceksiniz. Güvenlik. ios kurumsal hizmetlere güvenli bir şekilde erişmek ve önemli verileri korumak için tasarlanmıştır. ios veri iletimi için güçlü bir şifreleme, kurumsal hizmetlere erişim için kanıtlanmış kimlik doğrulama yöntemleri ve bekleme durumunda tüm veriler için donanım şifrelemesi sağlar. ios'un güvenlikle ilgili özellikleri hakkında daha fazla bilgi edinmek için bu bölümü okuyun. Yapılandırma ve Yönetim. ios; ios aygıtlarının büyük ölçekli bir ortamda kolayca kurulmasını, ihtiyaçlarınıza göre yapılandırılmasını ve kolayca yönetilmesini sağlayan araçları ve teknolojileri destekler. Bu bölümde, mobil aygıt yönetiminin (MDM) genel bir özeti dahil farklı dağıtım araçları tanımlanmaktadır. Uygulama Dağıtımı.Uygulamaları ve içerikleri kuruluşunuzda dağıtmanın pek çok yolu vardır. ios Kurumsal Geliştirici Programı kuruluşunuzun uygulamaları kurum içi kullanıcılara dağıtmasını sağlar. Bu programları veya kurum içinde kullanım için oluşturulan uygulamaları dağıtmayı daha iyi kavramak için bu bölümü kullanın. Aşağıdaki eklerde ek teknik bilgiler ve koşular belirtilmektedir: Wi-Fi Altyapısı. ios'un desteklediği Wi-Fi standartları hakkında bilgiler ve büyük ölçekli bir Wi-Fi ağı planlama konusunda değerlendirmeler. Sınırlamalar. ios aygıtlarını güvenlik, parola ve diğer koşullar için yapılandırmak için kullanabileceğiniz sınırlamalarla ilgili ayrıntılar. Şirket İçi Uygulamaları Kablosuz Olarak Kurma. Şirket içi uygulamalarınızı kendi web tabanlı portalınızı kullanarak dağıtma konusunda ayrıntılar ve gereklilikler. İlave kaynaklar Yararlı bilgiler için aşağıdaki web sitelerine başvurun:

4 Bölüm 1: Entegrasyon ios aygıtları çok çeşitli ağ altyapıları için yerleşik destek sunar. Bu destekler arasında aşağıdakiler için verilen destekler de bulunur: Microsoft Exchange gibi yaygın kullanılan üçüncü taraf sistemleri Standartlara dayanan Mail, Directory, Takvim ve diğer sistemlerle entegrasyon Veri aktarımı için standart Wi-Fi protokolleri, şifreleme Per app VPN dahil sanal özel ağlar (VPN) Ağa bağlı uygulamalar ve hizmetlerde kimlik doğrulamayı sorunsuz hale getirmek için tek şifre Kullanıcıların kimliklerini doğrulamak ve iletişimin güvenliğini sağlamak için dijital sertifikalar Bu uygulama ios'ta yerleşik olduğu için, IT departmanınızın yapması gereken tek şey ios aygıtlarını mevcut altyapınızla bütünleştirmek için birkaç ayarı yapılandırmaktır. ios destekli teknolojiler ve en iyi entegrasyon uygulamaları için okumaya devam edin. Microsoft Exchange ios, Microsoft Exchange ActiveSync (EAS) yoluyla Microsoft Exchange Server'ınızla doğrudan iletişim kurabilir ve anında iletilen e-posta, takvim, kişiler, notlar ve görevleri etkinleştirebilir. Exchange ActiveSync ayrıca kullanıcılara Global Adres Listesi (GAL) erişimi, yöneticilere de parola ilkesi uygulama ve uzaktan silme özellikleri sağlar. ios, Exchange ActiveSync için hem temel hem de sertifika tabanlı kimlik doğrulamayı destekler. Şirketiniz Exchange ActiveSync'i etkinleştirmişse, ios'u desteklemek için gerekli hizmetleriniz de etkinleşir. Bunun için ek yapılandırma gerekmez. Gereksinimler ios 7 veya daha yeni sürümü kurulu aygıtlar Microsoft Exchange'in aşağıdaki sürümlerini destekler: Exchange Server 2003 SP 2 (EAS 2.5) Exchange Server 2007 (EAS 2.5 kullanan) Exchange Server 2007 SP 1 (EAS 12.1) Exchange Server 2007 SP 2 (EAS 12.1) Exchange Server 2007 SP 3 (EAS 12.1) Exchange Server 2010 (EAS 14.0) Exchange Server 2010 SP 1 (EAS 14.1) Exchange Server 2010 SP 2 (EAS 14.1 kullanan) Exchange Server 2013 (EAS 14.1 kullanan) Office 365 (EAS 14.1 kullanan) Microsoft Direct Push Exchange Server, hücresel veya Wi-Fi veri bağlantısı varsa Exchange Server e-posta, görevler, kişiler ve takvim etkinliklerini ios aygıtlarına otomatik olarak iletir. ipod touch ve bazı ipad modellerinin hücresel bağlantısı yoktur, bu nedenle anında bildirimleri yalnızca bir Wi-Fi ağına bağlandıklarında alırlar. 4

5 Microsoft Exchange Otomatik Keşfetme ios, Microsoft Exchange Server 2007 ve Microsoft Exchange Server 2010'un Autodiscover hizmetini destekler. Bir aygıtı elle yapılandırdığınızda, Autodiscover doğru Exchange Server bilgilerinizi belirlemek için e-posta adresinizi ve parolanızı kullanır. Autodiscover hizmetini etkinleştirme hakkında daha fazla bilgi için, Autodiscover Service (İngilizce) belgesine başvurun. Exchange Genel Adres Listesi ios aygıtları kişi bilgilerini şirketinizin Exchange Server kurumsal dizininden alır. Dizine Kişiler'de arama yaparken erişebilirsiniz ve e-posta adreslerini girilirken tamamlamak için otomatik olarak erişilir. ios 6 ve daha yeni sürümleri GAL fotoğraflarını destekler(exchange Server 2010 SP 1 veya daha yeni sürümü gerekir). Desteklenmeyen Exchange ActiveSync özellikleri Exchange'in aşağıdaki özellikleri desteklenmez: E-posta iletilerinde SharePoint sunucularında depolanan belgelere bağlantılar açma Ofiste değilim otomatik yanıt mesajı ayarlama Exchange aracılığıyla ios sürümlerini tanımlama Bir ios aygıtı bir Exchange Sunucusuna bağlandığında, aygıt kendi ios sürümünü bildirir. Sürüm numarası istek başlığının User Agent alanında gönderilir ve AppleiPhone2C1/ 'e benzer bir şekilde görünür. Sınırlayıcının (/) ardından görülen numara her ios sürümü için farklı olan ios yapı numarasıdır. Bir aygıtta yapı numarasını görmek için, Ayarlar>Genel>Hakkında'ya gidin. Sürüm numarasını ve yapı numarasını (4.1 (8B117A) gibi bir sayı) göreceksiniz. Parantez içindeki sayı, aygıtta çalışan sürümü tanımlayan yapı numarasıdır. Yapı numarası Exchange Sunucusuna gönderildiğinde, NANNNA (N bir sayı ve A bir harftir) Exchange formatı NNN.NNN'e dönüştürülür. Sayısal değerler korunur, ama harfler alfabedeki konumlarının değerlerine dönüştürülür. Örneğin, F harfi alfabedeki altıncı harf olduğu için 06 sayısına dönüştürülür. Sayılar Exchange formatına uyması için gerekiyorsa sıfırlarla tamamlanır. Bu örnekte, 7E18 yapı numarası olarak değiştirilir. İlk rakam 7 yine 7 olarak kalır. E harfi alfabenin beşinci harfi olduğu için 05 sayısına dönüştürülür. Biçimin gereği olarak, dönüştürülen sürüme A nokta (A.) eklenir. Bir sonraki sayı 18'dir ve sıfırla tamamlanarak 018 sayısına dönüştürülür. Yapı numarası bir harfle biter (örneğin 5H11A), rakam yukarıda açıklanan şekilde dönüştürülür ve son karakterin sayısal değeri 3 sıfırla ayrılan dizeye eklenir. Böylece 5H11A dönüştürüldüğünde olur. Uzaktan silme Bir ios aygıtının içeriklerini Exchange tarafından sağlanan özellikleri kullanarak uzaktan silebilirsiniz. Silme işlemi aygıttan tüm verileri ve yapılandırma bilgilerini kaldırır ve aygıt güvenli bir şekilde silinir ve orijinal fabrika ayarlarına geri döndürülür. Silme işlemi (256 bir AES şifreleme ile şifrelenen) veri şifreleme anahtarını kaldırarak anında tüm verileri erişilemez hale getirir. Microsoft Exchange Server 2007 veya daha yeni sürümüyle, Exchange Yönetim Konsolu, Outlook Web Erişimi ve Exchange ActiveSync Mobil Yönetim Web Aracı ile uzaktan silme işlemi yapabilirsiniz. Microsoft Exchange Server 2003 ile, Exchange ActiveSync Mobil Yönetim Web Aracı 'nı kullanarak bir uzaktan silme başlatabilirsiniz. Alternatif olarak, kullanıcılar kendi aygıtlarını Ayarlar>Genel>Sıfırla'ya giderek ve Tüm İçerikleri ve Ayarları Sil ayarını seçebilir. Aygıtlar belirli bir sayıda başarısız parola denemesinden sonra otomatik olarak silinecek şekilde de yapılandırılabilir. 5

6 Standartlara Dayalı Hizmetler IMAP posta protokolü desteği, LDAP dizin hizmetleri, CalDAV takvimleri ve CardDAV kişi protokolleriyle ios standartlara dayalı olan neredeyse tüm ortamlara entegre edilebilir. Ağ ortamınız kullanıcı kimlik doğrulaması ve SSL gerektirecek şekilde yapılandırılırsa, ios standartlara dayanan e-posta, takvim, görevler ve kişilere erişim için güvenli bir yaklaşım sağlar. SSL ile, ios 128-bit şifrelemeyi ve büyük sertifika yetkilileri tarafından verilen X.509 kök sertifikalarını destekler. Tipik bir dağıtımda, ios aygıtları kablo kullanmadan ileti göndermek ve almak için IMAP ve SMTP posta sunucularına doğrudan erişir ve ayrıca, IMAP tabanlı sunucularla notları da kablosuz eşzamanlayabilirler. ios aygıtları şirketinizin LDAPv3 kurumsal dizinlerine bağlanarak kullanıcıların Mail, Kişiler ve Mesajlar uygulamalarına erişmelerini sağlar. CalDAV sunucunuzla eşzamanlama kullanıcıların kablo kullanmadan takvim davetleri oluşturmalarını ve kabul etmelerini, takvim güncellemelerini almalarını ve Anımsatıcılar uygulamasıyla görev eşzamanlamanlamalarını sağlar. CardDAV desteği, kullanıcıların vcard formatını kullanarak CardDAV sunucunuzla eşzamanlanan bir kişiler grubunu sürekli olarak kullanmalarını sağlar. Ağ sunucuları bir DMZ alt ağı içinde, bir kurumsal güvenlik duvarı arkasında veya her ikisinde birden bulunabilir. Wi-Fi ios aygıtları kutularından çıkarılır çıkarılmaz, ister kampüste ister yolda olsunlar, kullanıcıların kullanılabilir kablosuz ağlara hızlı ve kolayca katılmalarını sağlayarak şirket veya konuk Wi-Fi ağlarına güvenle bağlanabilir. Wi-Fi ağlarına bağlanma Kullanıcılar ios aygıtlarını mevcut Wi-Fi ağlarına otomatik olarak bağlanacak şekilde ayarlayabilir. Oturum açmak için kullanıcı bilgileri veya başka bilgiler gerektiren Wi- Fi ağlarına ayrı bir tarayıcı oturumu açmaksızın Wi-Fi ayarlarından veya Mail gibi uygulamaların içinden hızla erişilebilir. Düşük güçlü, sürekli Wi-Fi bağlantı özelliği uygulamaların anında bildirimleri iletmesi için Wi-Fi ağlarını kullanmasını sağlar. WPA2 Enterprise ios; WPA2 Enterprise gibi sektör standardı kablosuz ağ protokollerini destekleyerek kurumsal kablosuz ağlara ios aygıtlarından güvenli bir şekilde erişilmesini sağlar. WPA2 Kurumsal, kullanıcılara verilerinin korunduğu konusunda en yüksek düzeyde güvenlik duygusu sağlayan kanıtlanmış, blok tabanlı bir şifreleme yöntemi olan 128-bit AES şifrelemesini kullanır X desteğiyle, ios çok çeşitli RADIUS kimlik doğrulama ortamlarına entegre edilebilir. ios tarafından desteklenen 802.1X kablosuz kimlik doğrulama yöntemleri arasında EAP-TLS, EAP-TTLS, EAP-FAST, PEAPv0, PEAPv1 ve LEAP de bulunur. 6

7 Roaming Büyük kurumsal Wi-Fi ağlarında roaming için, ios k ve r protokollerini destekler k ios aygıtlarının erişim noktalarından aldıkları raporları kullanarak Wi-Fi erişim noktaları arasında geçiş yapmalarını sağlar r ise bir aygıt erişim noktaları arasında geçiş yaparken 802.1X kimlik doğrulamasını sorunsuz hale getirir. Hızlı kurulum ve dağıtım için, kablosuz ağ, güvenlik, proxy ve kimlik doğrulama ayarları yapılandırma profilleri veya MDM kullanılarak yapılandırılabilir. Sanal Özel Ağlar ios'ta özel şirket ağlarına yerleşik sektör standardı sanal özel ağ (VPN) protokolleri kullanılarak güvenli bir şekilde erişilebilir. ios kutudan çıkar çıkmaz Cisco IPSec, L2TP over IPSec ve PPTP'yi destekler. Kuruluşunuz bu protokollerden birini destekliyorsa, ios aygıtlarını VPN'inize bağlamak için başka bir ağ yapılandırması veya üçüncü taraf uygulamaları gerekmez. Ayrıca, ios popüler VPN sağlayıcılardan SSL VPN'i de destekler. Kullanıcılar, Apple Store'dan sadece bu şirketlerden biri tarafından geliştirilmiş VPN istemci uygulamalarını indirerek başlayabilirler. ios'ta desteklenen diğer VPN protokolleri gibi, VPN aygıtta elle veya yapılandırma profilleri veya MDM aracılığıyla yapılandırılabilir. ios; IPv6, proxy sunucuları ve split-tunneling gibi sektör standardı teknolojileri destekleyerek kurumsal ağlara bağlanan kullanıcılara zengin bir VPN deneyimi sağlar. ios; parola, iki etkenli belirteç ve dijital sertifikalar da dahil çeşitli kimlik doğrulaması yöntemleriyle çalışır. Sertifika tabanlı ortamlarda bağlanmayı sorunsuz hale getirmek için, ios belirli etki alanlarına bağlanmak için gerektiğinde bir VPN oturumu başlatan VPN On Demand özelliğine sahiptir. ios 7 ile, tek tek uygulamalar aygıttaki diğer uygulamalardan bağımsız bir VPN bağlantısı kullanacak şekilde yapılandırılmıştır. Bu kurumsal verilerin her zaman bir VPN bağlantısı aracılığıyla aktarılmasını ve çalışanların App Store'dan alınan kişisel uygulamaları gibi diğer verilerin aktarılmamasını sağlar. Ayrıntılar için, bu bölümün devamındaki Per app VPN başlığına bakın. Desteklenen protokoller ve kimlik doğrulama yöntemleri SSL VPN. Parola, iki etkenli belirteç ve sertifikalarla kimlik doğrulamayı destekler. Cisco IPSec. Parola, iki etkenli belirteç ve paylaşılan sır ve sertifikalarla makine kimlik doğrulamasını destekler. L2TP over IPSec. MS-CHAP v2 Parolası, iki etkenli belirteç ve paylaşılan sırla makine kimlik doğrulamasını destekler. PPTP. MS-CHAP v2 Parolası ve iki faktörlü belirteçle kimlik doğrulamayı destekler. SSL VPN istemcileri Çok sayıda SSL VPN sağlayıcısı kendi çözümleriyle birlikte kullanılmak üzere ios aygıtlarının yapılandırılmasına katkıda bulunan uygulamalar geliştirdi. Bir aygıtı belirli bir çözüm için yapılandırmak için ilgili uygulamayı yükleyin ve isteğe bağlı olarak, gerekli ayarları içeren bir yapılandırma profili sağlayın. SSL VPN çözümleri şunları içerir: Juniper Junos Pulse SSL VPN. ios; Juniper Networks SA Series SSL VPN Gateway 6.4 ve daha yeni sürümlerini ve Juniper Networks IVE paketi 7.0 ve daha yeni sürümlerini destekler. Yapılandırma için, App Store'da bulunan Junos Pulse uygulamasını yükleyin. Daha fazla bilgi için Juniper Networks uygulama notu belgesine başvurun. 7

8 F5 SSL VPN. ios; F5 BIG-IP Edge Gateway, Access Policy Manager ve FirePass SSL VPN çözümlerini destekler. Yapılandırma için, App Store'da bulunan F5 BIG-IP Edge Client uygulamasını yükleyin. Daha fazla bilgi için, F5 teknik özeti Kurumsal Web Uygulamalarına Güvenli iphone Erişimi (İngilizce) belgesini okuyun. Aruba Networks SSL VPN. ios; Aruba Networks Mobility Controller uygulamasını destekler. Yapılandırma için, App Store'da bulunan Aruba Networks VIA uygulamasını yükleyin. Daha fazla bilgi için, Aruba Networks web sitesine (İngilizce) başvurun. SonicWALL SSL VPN. ios; SonicWALL Aventail E-Class Secure Remote Access aygıtlarının ve daha yeni sürümlerini, SonicWALL SRA aygıtlarının 5.5 ve daha yeni sürümlerini ve SonicOS ve daha yeni sürümleri kurulu TZ, NSA, E-Class NSA gibi SonicWALL Next-Generation Firewall aygıtlarını destekler. Yapılandırma için, App Store'da bulunan SonicWALL Mobile Connect uygulamasını yükleyin. Daha fazla bilgi için, SonicWALL web sitesine (İngilizce) başvurun. Check Point Mobile SSL VPN. ios tam Layer-3 VPN tünel özelliğine sahip Check Point Security Gateway'i destekler. Yapılandırma için, App Store'da bulunan Check Point Mobile uygulamasını yükleyin. OpenVPN SSL VPN. ios; OpenVPN Access Server, Private Tunnel ve OpenVPN Community'yi destekler. Yapılandırma için, App Store'da bulunan OpenVPN Connect uygulamasını yükleyin. Palo Alto Networks GlobalProtect SSL VPN. ios; Palo Alto Networks'ün GlobalProtect ağ geçidini destekler. Yapılandırma için, App Store'da bulunan GlobalProtect for ios uygulamasını yükleyin. Cisco AnyConnect SSL VPN. ios; yazılım görüntüsü 8.0(3).1 veya da yeni sürümleri kurulu Cisco Adaptive Security Appliance (ASA) aygıtını destekler. Yapılandırma için, App Store'da bulunan Cisco AnyConnect uygulamasını yükleyin. VPN Kurulum Kuralları Cisco IPSec kurulum kuralları Cisco VPN sunucunuzu ios aygıtlarıyla kullanmak üzere yapılandırmak için bu kuralları kullanın. ios; 7.2x veya daha yeni yazılım sürümü ile yapılandırılmış Cisco ASA 5500 Güvenlik Aygıtlarını ve PIX Güvenlik Duvarlarını Destekler. En son yazılım sürümü (8.0.x veya daha yeni sürümü) önerilir. ios; IOS 12.4(15)T veya daha yeni sürümü kurulu Cisco IOS VPN router'larını da destekler. VPN 3000 Serisi Yoğunlaştırıcılar ios VPN özelliklerini desteklemez. Proxy kurulumu Tüm yapılandırmalar için, bir VPN proxy de belirtebilirsiniz. Tüm bağlantılar için tek bir proxy yapılandırmak için, Manual ayarını kullanın ve gerekiyorsa, adresi, portu ve kimlik doğrulamayı belirtin. Aygıta PAC veya WPAD kullanan bir otomatik proxy yapılandırma dosyası sağlamak için, Auto ayarını kullanın. PACS için, PACS dosyasının URL adresini belirtin. WPAD için, ios doğru ayarlar için DHCP ve DNS'i sorgular. 8

9 Kimlik doğrulama yöntemleri ios aşağıdaki kimlik doğrulama yöntemlerini destekler: Xauth aracılığıyla kullanıcı kimlik doğrulama ile ön paylaşımlı anahtar IPSec kimlik doğrulaması. Xauth aracılığıyla isteğe bağlı kimlik doğrulama ile IPSec kimlik doğrulamasıyla IPSec kimlik doğrulaması için istemci ve sunucu sertifikaları. Sunucunun bir sertifika sağladığı ve istemcinin IPSec kimlik doğrulaması için ön paylaşımlı anahtar sağladığı hibrit kimlik doğrulama. Xauth aracılığıyla kimlik doğrulaması zorunludur. Kullanıcı kimlik doğrulaması xauth aracılığıyla sağlanır ve aşağıdaki kimlik doğrulama yöntemlerini içerir: Kullanıcı adı ve parola RSA SecurID CryptoCard Kimlik doğrulama grupları Cisco Unity protokolü kullanıcıları ortak bir kimlik doğrulama parametreleri ve diğer parametreler setine göre gruplamak için kimlik doğrulama gruplarını kullanır. ios kullanıcıları için bir kimlik doğrulama grubu oluşturmanız gerekir. Ön paylaşımlı anahtarla ve hibrit kimlik doğrulama için, aygıtta grup adı grup parolası olarak grubun paylaşılan sırrı (ön paylaşımlı anahtar) ile yapılandırılmalıdır. Sertifikayla kimlik doğrulama kullanıldığında, paylaşılan sır kullanılmaz. Bir kullanıcının grubu sertifikadaki alanlara göre belirlenir. Bir sertifikadaki alanları kullanıcı gruplarıyla eşleştirmek için Cisco sunucu ayarları kullanılabilir. RSA-Sig, ISAKMP öncelik listesinde en yüksek önceliğe sahip olmalıdır. Sertifikalar Sertifikaları kurarken ve yüklerken, aşağıdakilerden emin olun: Sunucu kimliği sertifikasında konu alternatif (SubjectAltName) alanında sunucunun DNS adı ve/veya IP adresi bulunmalıdır. Aygıt sertifikanın sunucusuna ait olduğunu doğrulamak için bu bilgileri kullanır. Daha fazla esneklik için, SubjectAltName'ini segment başına eşleştirme için vpn.*.mycompany.com örneğinde olduğu gibi joker karakterler kullanarak belirtebilirsiniz. SubjectAltName belirtilmemişse, ortak ad alanına DNS adını yazabilirsiniz. Aygıta sunucunun sertifikasını imzalayan CA'nın sertifikası yüklenmelidir. Bu bir kök sertifikası değilse, sertifikalara güvenilmesini sağlamak için güven zincirinin kalanını kurun. İstemci sertifikaları kullanıyorsanız, VPN sunucusuna istemci sertifikasını imzalayan güvenilen CA sertifikasının kurulduğundan emin olun. Sertifika tabanlı kimlik doğrulama kullandığınızda, sunucunun kullanıcının grubunu istemci sertifikasındaki alanlara göre tanımlayacak şekilde ayarlandığından emin olun. Sertifikalar ve sertifika yetkilileri geçerli olmalıdır (örneğin, sona ermiş olmamalıdır). Sunucu tarafından sertifika gönderme desteklenmez ve bu özelliği kapatmanız gerekir. 9

10 IPSec ayarları Aşağıdaki IPSec ayarlarını kullanın: Mod. Tünel Modu IKE Exchange Modları. Ön paylaşımlı anahtar ve hibrit kimlik doğrulama için Aggressive Modu veya sertifikayla kimlik doğrulama için Main Modu. Şifreleme Algoritmaları. 3DES, AES-128, AES-256. Kimlik Doğrulama Algoritmaları. HMAC-MD5, HMAC-SHA1. Diffie-Hellman Grupları. Ön paylaşımlı anahtarla ve hibrit kimlik doğrulama için Grup 2 zorunludur. Sertifikayla kimlik doğrulama için, 3DES ve AES-128 ile Grup 2'yi kullanın. AES-256 ile Grup 2 veya 5'i kullanın. PFS (Perfect Forward Secrecy). IKE aşama 2 için, PFS kullanılıyorsa Diffie-Hellman grubu IKE aşama 1 için kullanılan grupla aynı olmalıdır. Mod Yapılandırması. Etkinleştirilmelidir. Dead Peer Detection. Önerilir. Standard NAT Traversal. Desteklenir ve etkinleştirilebilir (IPSec over TCP desteklenmez). Yük Dengeleme. Desteklenir ve etkinleştirilebilir. Aşama 2'in yeniden anahtarlanması. Halen desteklenmemektedir. Sunucuda yeniden anahtarlama süresinin bir saat olarak ayarlanması önerilir. ASA Adres Maskesi. Tüm aygıt adres havuzu maskelerinin ayarlanmadığından veya olarak ayarlandığından emin olun. Örneğin: asa(configwebvpn)# ip local pool vpn_users mask Önerilen adres maskesini kullanıyorsanız, VPN yapılandırması tarafından varsayılan bazı yollar yok sayılabilir. Bunun önüne geçmek için, yönlendirme çizelgesinde gerekli tüm yolların bulunduğundan ve alt ağ adreslerinin dağıtımdan önce erişilebilir olduğundan emin olun. Diğer desteklenen özellikler Uygulama Sürümü. Sunucu yazılım sürümü sunucuya gönderilerek sunucunun bağlantıları aygıtın yazılım sürümüne göre kabul etmesini veya reddetmesini sağlar. Banner. Banner (sunucuda yapılandırılmışsa) aygıtta gösterilir ve kullanıcı banner'ı kabul etmeli veya bağlantıyı kesmelidir. Split Tunnel. Split tunneling desteklenmez. Split DNS. Split DNS desteklenmez. Varsayılan Etki Alanı. Varsayılan etki alanı desteklenmez. 10

11 İstek Üzerine VPN İstek Üzerine VPN ios'un kullanıcı müdahalesi olmadan otomatik olarak güvenli bir bağlantı kurmasını sağlar. VPN bağlantısı bir yapılandırma profilinde tanımlanan kurallar temelinde gerektiğinde ilkesine göre başlatılır. ios 7'de, İstek Üzerine VPN bir yapılandırma profilinin VPN yükünde OnDemandRules anahtarı kullanılarak yapılandırılır. Kurallar iki aşamada uygulanır: Ağ Algılama Aşaması. Aygıtın birinci ağ bağlantısı değiştiğinde uygulanan VPN koşullarını tanımlar. Bağlantı Değerlendirme Aşaması. Etki alanı adlarına bağlantı istekleri için gerektiğinde ilkesine göre VPN gerekliliklerini tanımlar. Örneğin, kuralları aşağıdakileri sağlamak için kullanılabilir: Bir ios aygıtının dahili bir ağa bağlandığını ve VPN'in gerekli olmadığını algılama. Bilinmeyen bir aygıt kullanıldığında algılar ve tüm ağ aktivitesi için VPN'i zorunlu tutar. Belirli bir etki alanı için DNS isteği başarısız olduğunda VPN gerektirir. Ağ Algılama Aşaması Aygıtın ana ağ arabirimi değiştiğinde (örneğin ios aygıtı başka bir Wi-Fi ağına veya Wi-Fi'dan hücresel bağlantıya geçtiğinde) İstek Üzerine VPN kuralları değerlendirilir. Ana ağı sanal biri arabirimde (örneğin bir VPN arabirimi), İstek Üzerine VPN kuralları yoksayılır. İlgili eylemin yapılabilmesi için her setteki (sözlük) eşleşme kurallarının tamamı eşleşmelidir; kurallardan herhangi bir eşleşmezse, değerlendirme OnDemandRules dizisi tükenene kadar dizinin bir sonraki sözlüğe geçer. Söz sözlük bir varsayılan yapılandırma tanımlamalıdır. Yani hiçbir eşleşme kuralı olmamalı yalnızca bir Eylem olmalıdır. Bu önceki kurallarla eşleşmeyen tüm bağlantılar yakalanır. Bağlantı Değerlendirme Aşaması VPN, ağa arabirimi temelinde tek taraflı olarak bağlantısı kesilerek veya bağlanarak bazı etki alanlarında bağlı isteklerine göre tetiklenebilir. İsteğe Bağlı Eşleşme Kuralları Aşağıdaki eşleşme kurallarından birini veya daha fazlasını belirtin: InterfaceTypeMatch. İsteğe Bağlı. Wi-Fi veya hücresel bağlantının bir dize değeri. Belirtilirse, bu kural belirtilen türün ana arabirimiyle eşleşmelidir. SSIDMatch. İsteğe Bağlı. Mevcut ağla eşleşen bir SSID dizisi. Ağ bir Wi-Fi ağı değilse veya SSID listede yoksa, eşleşme başarısız olur. SSID'yi yok saymak için bu anahtarı ve dizisini yok sayın. DNSDomainMatch. İsteğe Bağlı. Dizeler biçiminde bir arama etki alanları dizisi. Geçerli ana ağın yapılandırılan DNS arama etki alanı dizide varsa, özellik eşleşir. Joker karakter ön ek (*) desteklenir. Örneğin, *.example.com herşey.example.com ile eşleşir. 11

12 DNSServerAddressMatch. İsteğe Bağlı. Dizeler biçiminde bir DNS sunucu adresleri dizisi. Ana arabirim için yapılandırılmış DNS sunucu adreslerinin tümü yapılandırılmışsa, bu özellik eşleşir. Joker karakter (*) desteklenir. Örneğin, * öneki olan her DNS sunucusuyla eşleşir. URLStringProbe. İsteğe Bağlı. Erişilebilirliği yoklamak için bir sunucu. Yeniden yönlendirme desteklenmez. URL güvenilir bir HTTPS sunucusu olmalıdır. Aygıt sunucunun erişilebilir olduğunu doğrulamak için bir GET isteği gönderir. Eylem Bu anahtar belirtilen tüm eşleşen kuralların doğru olarak değerlendirilmesi durumunda VPN davranışını tanımlar. Bu anahtar zorunludur. Eylem anahtarının değerleri: Bağlan. Bir sonraki ağa bağlanma denemesinde VPN bağlantısını koşulsuz olarak başlatır. Bağlantıyı kes. VPN bağlantısını keser ve istek üzerine yeni bağlantılar tetiklemez. Yoksay. Mevcut VPN bağlantısını sürdürür, ama istek üzerine yeni bağlantılar tetiklemez. İzin Ver. ios 6 veya daha yeni sürümü kurulu ios aygıtları için. Bu bölümün devamındaki Geriye Yönelik Uyumluluk Hakkında Notlar başlığına bakın. EvaluateConnection. Her bağlantı denemesi için ActionParameters'i değerlendirir. Bu kullanıldığında, değerlendirme kurallarını belirtmek için aşağıda açıklanan ActionParameters anahtarı gerekir. ActionParameters Gerçekleştikleri sırayla değerlendirilen, aşağıda açıklanan anahtarları içeren sözlükler dizisi. Eylem EvaluateConnection olduğunda gereklidir. Etki Alanları. Zorunlu. Bu değerlendirme profilinin uygulanacağı etki alanlarını tanımlayan bir dize dizisi. *.example.com gibi joker karakter ön ekler desteklenir. DomainAction. Zorunlu. Etki Alanları için VPN davranışını destekler. DomainAction anahtarının değerleri şunlardır: ConnectIfNeeded. Etki Alanı için DNS çözümü başarısız olduğunda, örneğin DNS sunucusu etki alanı adını çözemezse veya DNS yanıtı yeniden yönlendirilirse veya bağlantı başarısız olur veya zaman aşımına uğrarsa, VPN bağlantısını kurar. NeverConnect. Etki Alanları için VPN'i tetiklemez. DomainAction seçimi ConnectIfNeeded ise, bağlantı değerlendirme sözlüğünde aşağıdaki anahtarları da belirtebilirsiniz: RequiredDNSServers. İsteğe Bağlı. Etki Alanlarını çözmek için kullanılacak DNS sunucularının IP adreslerinin dizisi. Bu sunucuların aygıtın geçerli ağ yapılandırmasının parçası olması gerekmez. DNS sunucularına erişilemiyorsa, VPN tetiklenir. Dahili bir DNS sunucusu veya güvenilen bir harici DNS sunucusu yapılandırın. RequiredURLStringProbe. İsteğe Bağlı. Bir GET isteği kullanarak sorgulanacak bir HTTP veya HTTPS (tercih edilir) URL adresi. Bu sunucu için DNS çözünürlüğü başarılı olursa, sorgulamanın da başarılı olması gerekir. Sorgulama başarısız olursa, VPN tetiklenir. 12

13 Geriye yönelik uyumluluk hakkında notlar ios 7'den önce, etki alanı tetikleme kuralları OnDemandMatchDomainAlways, OnDemandMatchDomainOnRetry ve OnDemandMatchDomainNever adlı etki alanları dizisi aracılığıyla yapılandırılıyordu. OnRetry ve Never durumları ios 7'de hala desteklenmektedir, ama EvaluateConnection eylemi daha fazla kullanılmaktadır. Hem ios 7 hem eski sürümlerde çalışan bir profil oluşturmak için, OnDemandMatchDomain dizilerine ek olarak yeni EvaluateConnection anahtarlarını kullanın. ios'un EvaluateConnection'u tanımayan eski sürümleri eski dizileri kullanırken, ios 7 ve daha sonraki sürümler EvaluateConnection'ı kullanır. İzin Ver eylemin belirtilen eski yapılandırma profilleri, OnDemandMatchDomainsAlways etki alanları dışında ios 7'de çalışacaktır. Per App VPN ios 7 uygulama temelinde VPN bağlantıları oluşturma yeteneğine de sahiptir. Bu yaklaşım hangi verilerin VPN aracılığıyla aktarılacağı ve hangi verilerin VPN aracılığıyla aktarılmayacağı konusunda daha ayrıntılı bir denetime izin verir. Aygıt ölçeğinde VPN ile, tüm veriler kökenlerinden bağımsız olarak sanal ağ aracılığıyla dolaşır. Kuruluşlar içinde daha fazla kişilere ait aygıt kullanıldıkça, Per app VPN kurum içinde kullanılan uygulamalarını ağa güvenli bir şekilde bağlanmasını ve kişisel aygıt aktivitelerinin gizliliğinin korunmasını sağlar. Perr app VPN mobil aygıt yönetimi (MDM) ile yönetilen her uygulamanın, özel ağla aygıttaki özel ağı kullanmayan diğer yönetimsiz uygulamaları dışarıda bırakarak güvenli bir tünel aracılığıyla iletişim kurmasını sağlar. Ayrıca, yönetimli uygulamalar verileri daha fazla korumak için farklı VPN bağlantılarıyla yapılandırılabilir. Örneğin, satış fiyatı uygulaması ödeme hesapları uygulamasından tamamen farklı bir veri merkezi kullanabilirken kullanıcının web'de gezinme trafiği halka açık interneti kullanabilir. Bu trafiği uygulama katmanında ayırma yeteneği kişisel verilerin ve kuruluşa ait verilerin ayrılmasını sağlar. Per app VPN'i kullanmak için, uygulama MDM aracılığıyla yönetilmeli ve standart ios ağa bağlanma AP'lerini kullanmalıdır. Per app VPN, ayarları hangi uygulamaların ve Safari etki alanlarının kullanabileceğini belirtilen bir MDM yapılandırmasıyla yapılandırılır. MDM hakkında daha fazla bilgi için, Yapılandırma ve Yönetim başlıklı 3. bölüme başvurun. Tek Şifre (SSO) ios 7 ile, uygulamalar Kerberos aracılığıyla mevcut şirket için tek şifre altyapısından yararlanabilir. Tek şifre özelliği kullanıcının parolasını yalnızca bir kez girmesini gerektirerek kullanıcı deneyimini iyileştirebilir. Bu, parolaların asla kablosuz aktarılmamasını sağlayarak günlük uygulama kullanım güvenliğini de arttırır. ios 7 tarafından kullanılan Kerberos kimlik doğrulama sistemi dünyada en fazla uygulaman ve sektör standardını oluşturan tek şifre teknolojisidir. Active Directory, edirectory veya OpenDirectory'niz varsa, ios 7'nin yararlanabileceği bir Kerberos sisteminiz olabilir. ios aygıtları kullanıcıların kimliklerini doğrulamak için bir ağ bağlantısı üzerinden Kerberos hizmetiyle iletişim kurabilmelidir. 13

14 Desteklenen uygulamalar ios ağ bağlantılarını ve kimlik doğrulamayı desteklemek için NSURLConnection veya NSURLSession sınıfını kullanan her uygulamaya Kerberos tek şifre (SSO) için esnek destek verir. Apple tüm geliştiricilere ağ bağlantılarını kendi uygulamalarına entegre etmeleri için bu üst düzey çerçeveleri sağlar. Apple ayrıca SSO özelliğine sahip web sitelerini kullanarak başlamanıza yardımcı olacak bir örnek olarak Safari'yi sağlar. SSO Yapılandırması Tek şifre yapılandırması elle yüklenebilen veya MDM ile yönetilebilen yapılandırma profilleri kullanılarak yapılabilir. SSO hesap yükü esnek yapılandırmaya izin verir. SSO tüm uygulamaları açılabilir veya uygulama tanımlayıcısıyla, hizmetin URL'siyle veya her ikisiyle birden sınırlanabilir. URL'ler eşleştirilirken, basit örüntü eşleştirme kullanılır ve URL'ler veya ile başlamalıdır. Eşleştirme URL'nin tamamıyla yapılır, bu nedenle tam olarak aynı olduklarından emin olun. Örneğin, URLPrefixMatches değeri ile eşleşmeyecektir. SSO kullanımını güvenli veya normal HTTP hizmetleriyle sınırlamak için veya seçeneklerini belirtebilirsiniz. Örneğin, için bir URLPrefixMatches değeri kullanmanız SSO hesabının yalnızca güvenli HTTPS hizmetleriyle kullanılmasını sağlar. Bir URL eşleştirme örüntüsü kesme işareti (/) ile bitmez, bir kesme işareti (/) ile bitmez. AppIdentifierMatches dizisinde uygulama paketi ID'leriyle eşleşen dizeler bulunmalıdır. Bu dizeler tam eşleşmeler (örneğin, com.mycompany.myapp) olabilir veya bir joker karakter (*) kullanılarak paket ID'sindeki bir ön ek eşleşmesini belirtebilir. Joker karakter bir noktadan (.) sonra ve yalnızca dizenin sonunda (örneğin, com.mycompany.*) bulunabilir. Bir joker karakter kullanıldığında, paket kimliği bu ön ek ile başlayan her uygulamanın hesaba erişmesine izin verilir. Dijital Sertifikalar Dijital sertifikalar sorunsuz kimlik doğrulama, veri bütünlüğü ve şifreleme sağlayan bir kimlik tanımlama biçimidir. Dijital sertifika bir genel anahtardan, kullanıcıyla ilgili bilgilerden ve sertifikayı veren sertifika yetkilisi bilgisinden oluşur. ios dijital sertifikalarla destekleyerek kuruluşların kurumsal hizmetlere güvenli ve sorunsuz bir şekilde erişmesini sağlar. Sertifikalar çok değişik şekillerde kullanılabilir. Verilerin bir dijital sertifika ile imazalanması bilgilerin değiştirilmesini engellemeye yardımcı olur. Sertifikalar yazan veya imzalayan kişinin kimliğini garanti etmek için de kullanılabilir. Sertifikalar, gizli veya özel bilgiler için daha fazla koruma sağlamak amacıyla yapılandırma profillerini ve ağ iletişimlerini şifrelemek için de kullanılabilir. Örneğini Safari tarayıcısı bir X.509 dijital sertifikasının geçerliliğini kontrol edebilir ve 256-bite kadar AES şifrelemeyle güvenli bir oturum açabilir. Bu sitenin kimliğinin geçerli olduğunu doğrular ve web sitesiyle bu haberleşme kişisel veya gizli verilerin başkalarının eline geçmesini önlemek için korunur. 14

15 Desteklenen sertifika ve kimlik biçimleri: ios, RSA anahtarlı X.509 sertifikalarını destekler..cer,.crt,.der,.p12 ve.pfx dosya uzantıları tanınır. ios'ta sertifika kullanma Kök sertifikaları ios kutudan çıkar çıkmaz bir dizi önceden yüklenmiş kök sertifikası içerir. Daha fazla bilgi için, bu Apple Destek makalesi (İngilizce) içindeki listeye başvurun. Önceden yüklenen kök sertifikalardan herhangi biri bozulduğu takdirde, ios sertifikaları kablosuz olarak güncelleyebilir. Bunu devreden çıkarmak için, kablosuz sertifika güncellemelerini önleyen bir sınırlama vardır. Kuruluşunuz tarafından oluşturulmuş kendisi imzalı bir kök sertifikası Önceden yüklenmemiş bir kök sertifika kullanıyorsanız, bu sertifikayı aşağıda listelenen yöntemlerden birini kullanarak dağıtabilirsiniz. Sertifikaların dağıtılması ve yüklenmesi ios aygıtlarına sertifika dağıtmak basittir. Bir sertifika alındığında, kullanıcılar sadece dokunarak içeriklerini görebilir ve ardından yine dokunarak sertifikayı aygıtlarına ekleyebilirler. Bir kimlik sertifikası yüklendiğinde, kullanıcılardan bu sertifikayı koruyan parolayı girmeleri istenir. Gerçekliği doğrulanamayan bir sertifika güvenilmez olarak gösterilir ve kullanıcı bu sertifikayı aygıtına eklemek isteyip istemediğine karar verebilir. Sertifikaları yapılandırma profilleriyle kurma Exchange, VPN veya Wi-Fi gibi kurumsal hizmetlerin ayarlarını dağıtmak için yapılandırma profilleri kullanıyorsanız, dağıtımı kolaylaştırmak için profile sertifikalar eklenebilir. Bunu sertifikaları MDM aracılığıyla dağıtma yeteneği de dahildir. Sertifikaları Mail veya Safari aracılığıyla yükleme E-postayla gönderilen sertifikalar ileti eki olarak görünür. Bir web sayfasından sertifika indirmek için Safari de kullanılabilir. Bir sertifikayı güvenli bir web sayfasında tutabilir ve kullanıcıları sertifikayı aygıtlarına indirebilecekleri URL'yi bildirebilirsiniz. Sertifika kaldırma ve iptal etme Yüklenmiş bir sertifikayı elle kaldırmak için, Ayarlar>Genel> Profiller'i seçin ve kaldırmak istediğiniz sertifikayı belirtin. Kullanıcı bir hesaba veya ağa erişmek için gereken bir sertifikayı kaldırırsa, aygıt artık bu hizmetlere bağlanamaz. Bir mobil aygıt yönetimi sunucusu bir aygıttaki tüm sertifikaları görebilir ve daha önce kurduğu uygulamaları kaldırabilir. Ayrıca, sertifikaların durumunu kontrol etmek için Online Certificate Status Protocol (OCSP) ve CRL (Certificate Revocation List) protokolü desteklenir. OCSP veya CRL özelliğine sahip bir sertifika kullanıldığında, ios iptal edilmediğinden emin olmak için bu sertifikayı düzenli olarak onaylar. Bonjour Bonjour, Apple'ın aygıtların bir ağdaki hizmetleri bulmasını sağlayan standartlara dayalı, sıfır yapılandırma gerektiren ağ protokolüdür. ios aygıtları, Bonjour'u, AirPrint uyumlu yazıcıları ve Apple TV gibi AirPlay uyumlu aygıtları keşfetmek için kullanır. Bazı eşler arası uygulamalar da Bonjour gerektirir. Ağ altyapınızın ve Bonjour'un birlikte çalışmak için doğru yapılandırıldığından emin olmanız gerekir. ios 7.1 aygıtları Bluetooth aracılığıyla AirPlay kaynaklarını arayacaktır. Uyumlu bir Apple TV bulunduğunda AirPlay verileri Wi-Fi ağından gönderilir. Apple TV 6.1 veya sonraki modelleri için Bluetooth aracılığıyla bulmanın etkinleştirilmesi gerekir ve içeriği oynatmak veya yansıtmak için ios aygıtı ve Apple TV aynı alt ağa bağlanmalıdır. Bonjour hakkında daha fazla bilgi için, bu Apple web sayfasına başvurun. 15

16 Bölüm 2: Güvenlik ios birden fazla güvenlik katmanıyla üretilmiştir. Bu ios aygıtlarının ağ hizmetlerine güvenli bir şekilde erişmesini ve önemli verileri korumasını sağlar. ios veri iletimi için güçlü bir şifreleme, kurumsal hizmetlere erişim için kanıtlanmış kimlik doğrulama yöntemleri ve bekleme durumunda tüm veriler için donanım şifrelemesi sağlar. ios ayrıca kablosuz olarak sunulabilecek ve uygulanabilecek parola ilkeleri kullanımı yoluyla güvenli bir koruma sağlar. Aygıt yanlış ellere geçtiği takdirde, kullanıcılar ve IT yöneticileri gizli bilgileri silmek için bir uzaktan silme komutu başlatabilirler. ios'un kurumsal kullanımı göz önüne alındığında, aşağıdakilerin anlaşılması yararlı olacaktır: Aygıt denetimleri. Aygıtın yetkisiz kullanımını engelleme yöntemleri Şifreleme ve veri koruma. Verileri normal durumda ve hatta aygıt kaybedildiğinde veya çalındığında bile koruma Ağ güvenliği. Ağ protokolleri ve iletim sırasında verileri şifreleme Uygulama güvenliği. Uygulamaların güvenli bir şekilde ve platformun bütünlüğüne zarar vermeden çalışmasını sağlar İnternet hizmetleri. Apple ın mesajlaşma, eşzamanlama ve yedekleme için ağ tabanlı altyapısı Bu özellikler güvenli bir mobil bilgisayar ortamı sağlamak için birbiriyle uyumlu bir şekilde çalışır. Aşağıdaki parola ilkeleri desteklenir: Aygıtta parola gereklidir Alfasayısal değer gereklidir Minimum parola uzunluğu Minimum karmaşık karakter sayısı Maksimum parola geçerlilik süresi Otomatik kilitlemeden önceki süre Parola geçmişi Aygıt kilitleme için bekleme süresi Maksimum başarısız deneme sayısı Aygıt Güvenliği ios aygıtlarına erişim için güçlü politikalar oluşturulması, kurumsal bilgilerin korunması açısından çok önemlidir. Aygıt parolaları yetkisiz erişime karşı korumanın en önemli bileşenidir ve kablosuz olarak yapılandırılır ve zorlanır. ios aygıtları, e-postaları ve aygıttaki hassas uygulama verilerini daha iyi korumak için güçlü bir şifreleme anahtarı oluşturmak için her kullanıcı tarafından oluşturulan benzersiz bir parola kullanır. Ayrıca, ios aygıtı özel ayarlar, ilkeler ve sınırlamalar kullanılması gereken bir IT ortamında yapılandırmak için güvenli yöntemler sağlar. Bu yöntemler yetkili kullanıcılar için standart bir koruma düzeyi oluşturmak için esnek çözümler sağlar. Parola ilkeleri Bir aygıt parolası yetkisiz kullanıcıların verilere erişmesini veya aygıta başka bir biçimde erişmesini önler. ios; zaman aşımı dönemleri, parola gücü ve parolanın hangi sıklıkla değiştirilmesi gerektiği gibi güvenlik ihtiyaçlarınızı karşılayacak kapsamlı bir parola ilkeleri seti içinden seçim yapmanızı sağlar. 16

17 İlke zorlama İlkeler, kullanıcıların kurması için yapılandırma profilinin parçası olarak dağıtılabilir. Yalnızca yönetici parolasıyla silinebilecek bir parola tanımlanabilir veya profili aygıta kilitlenebilecek ve aygıttaki içeriklerin tümünü tamamen silmeden kaldırılamayacak şekilde yapılandırabilirsiniz. Ayrıca, parola ayarları ilkeleri doğrudan aygıta aktarabilen mobil aygıt yönetimi (MDM) çözümleriyle yapılandırılabilir. Bu ilkelerin kullanıcı tarafından herhangi bir işlem yapılmadan zorlanmasını ve güncellenmesini sağlar. Aygıt bir Microsoft Exchange hesabına erişecek şekilde yapılandırılırsa, Exchange ActiveSync ilkeleri aygıta kablosuz olarak uygulanır. Kullanılabilecek ilke seti Exchange ActiveSync ve Exchange Sunucusunun sürümüne göre değişir. Hem Exchange hem MDM ilkeleri varsa, en katı ilke uygulanır. Güvenli aygıt yapılandırması Yapılandırma profilleri ios aygıtlarının IT sistemlerinizle çalışmasını sağlayan aygıt güvenlik ilkeleri ve sınırlamalarını, VPN yapılandırma bilgilerini, Wi-Fi ayarlarını, e-posta ve takvim hesaplarını ve kimlik doğrulama bilgilerin içeren EML dosyalarıdır. Bir yapılandırma profilinde aygıt ayarlarıyla birlikte parola ilkeleri oluşturma yeteneği kuruluşunuzdaki aygıtların doğru şekilde ve IT departmanınızın belirlediği güvenlik standartlarına göre yapılandırılmasını sağlar. Yapılandırma profilleri şifrelenebildiği ve kilitlenebildiği için, ayarlar kaldırılamaz, değiştirilemez veya başkalarıyla paylaşılamaz. Yapılandırma profilleri imzalanabilir ve şifrelenebilir. Bir yapılandırma profilini imzalamak zorladığı ayarların hiçbir şekilde değiştirilemesini sağlar. Bir yapılandırma profilinin şifrelenmesi, yapılandırma profilinin içeriğinin korunmasını ve yalnızca kurulmak üzere oluşturulduğu aygıta kurulmalarını sağlar. Yapılandırma profilleri 3DES ve ASE 128'i destekleyen CMS (Cryptographic Message Syntax, RFC 3852) kullanılarak şifrelenir. Şifrelenmiş bir yapılandırma profilini ilk dağıttığınızda, bu profili Apple Configurator kullanarak USB aracılığıyla veya Over-the-Air Profile Delivery ve Yapılandırma protokolü veya MDM kullanarak kablosuz yükleyebilirsiniz. Sonraki şifrelenmiş yapılandırma protokolleri e-posta eki olarak gönderilebilir, kullanıcılarınızın erişebildiği bir web sitesinde tutulabilir veya AMD çözümleri kullanılarak aygıtınıza aktarılabilir. Daha fazla bilgi için, lütfen ios Geliştirici Arşivi sitesinde Over-the-Air Profile Delivery ve Yapılandırma protokolü (İngilizce) belgesine başvurun. Aygıt sınırlamaları Aygıt sınırlamaları kullanıcıların aygıtta hangi özelliklere erişebileceğini belirler. Tipik olarak, bu sınırlamalar Safari, YouTube veya itunes Store gibi ağa erişebilen uygulamaları kapsar, ama sınırlamalar uygulama yükleme veya kamera kullanımı gibi aygıt işlevlerini de kontrol edebilir. Sınırlamalar aygıtı ihtiyaçlarınıza göre yapılandırmanızı sağlar ve kullanıcıların aygıtı kuruluşunuzun ilkeleriyle tutarlı biçimlerde kullanmalarına izin verir. Sınırlamalar her aygıtta elle yapılandırılabilir, bir yapılandırma profiliyle zorlanabilir veya bir MD çözümüyle uzaktan oluşturulabilir. Ayrıca, parola ilkeleri, kamera veya web'de gezinme sınırlamaları Microsoft Exchange Server 2007 ve 2010 aracılığıyla kablo kullanmadan zorlanabilir. Sınırlamalar e-posta iletilerinin hesaplar arasında taşınmasını veya bir hesaptan alınan iletilerin başka hesaplara iletilmesini önlemek için de kullanılabilir. Desteklenen sınırlamalar hakkında bilgi için Ek B'ye bakın. 17

18 Şifreleme ve Veri Koruması ios aygıtlarında depolanan verilerin korunması hassas bilgiler içeren her ortam için önemlidir. İletilen verileri şifrelemeye ek olarak, ios aygıtları gelişmiş veri korumasıyla aygıtta saklanan tüm veriler için donanım şifrelemesi ve e-posta ve uygulama verileri için ek şifreleme sağlar. Şifreleme ios aygıtları donanım tabanlı şifreleme kullanır. Donanım şifrelemesinde aygıttaki tüm verileri korumak için 256-bit AES kullanılır. Şifreleme her zaman etkindir ve devreden çıkarılamaz. Ayrıca, itunes'da bir kullanıcının bilgisayarına yedeklenen veriler de şifrelenebilir. Bu özellik kullanıcı tarafından etkinleştirilebilir veya Yapılandırma Profillerinde aygıt sınırlama ayarları kullanılarak zorlanabilir. ios, Mail'de kullanıcıların kodlanmış e-posta mesajlarını görüntülemelerini ve göndermelerini sağlayan S/MIME'yi de destekler. ios 7 ve ios 6'daki şifreleme modüllerinin ABD Federal Bilgi İşleme Standartları (FIPS) Düzey 1'e uyduğu onaylanmıştır. Bu Apple uygulamalarının ve ios kriptografik işlemlerini doğru şekilde kullanan üçüncü taraf uygulamalarının şifreleme işlemlerinin doğruluğunu onaylar. Daha fazla bilgi için, lütfen ios ürün güvenliği: Onaylar ve rehberlik (İngilizce) ve ios 7: Apple FIPS ios Kriptografik Modülleri v4.0 (İngilizce) belgelerine başvurun. Veri koruması Aygıtta depolanan e-posta iletileri ve ekleri ios'ta yerleşik veri koruma özellikleri kullanılarak korunur. Veri koruma, güçlü bir şifreleme anahtarı üretmek için her kullanıcının benzersiz parolası ve ios aygıtlarındaki donanım şifrelemesinden yararlanır. Bu, aygıt kilitlendiğinde verilere erişilmesini engelleyerek aygıt kötü niyetli kişilerin eline geçtiğinde bile kritik bilgilerin güvende olmasını sağlar. Veri koruma özelliğini etkinleştirmek için, sadece aygıtınıza bir parola oluşturmanız gerekir. Veri korumasının etkinliği güçlü bir parolaya bağlı olduğu için, parola ilkelerinizi oluştururken dört basamaktan daha uzun bir parola istemeniz ve zorlamanız önemlidir. Kullanıcılar veri korumasının etkinleştirilip etkinleştirilmediğini parola ayarları ekranına bakarak kontrol edebilirler. Mobil aygıt yönetimi çözümleri aygıtı bu bilgiler için de sorgulayabilir. Veri koruma API'leri geliştiricilere de açıktır ve Apple Store'daki uygulamaların veya özel olarak geliştirilmiş şirket içi kurumsal uygulamaların güvenliğini sağlamak için de kullanılabilir. ios 7 ile birlikte, uygulamalarda saklanan veriler varsayılan olarak, masaüstü bilgisayarlardaki tam disk şifrelemeye benzeyen İlk Kullanıcı Kimlik Doğrulamasına Kadar Korunur güvenlik sınıfındadır ve verileri yeniden başlatma içeren saldırılardan korur. Not: ios 6'dan yükseltilen aygıtlarda, mevcut veri depoları yeni sınıfa dönüştürülmez. Uygulamanın kaldırılması ve yeniden yüklenmesi uygulamanın yeni koruma sınıfını almasına neden olur. Touch ID Touch ID, iphone 5s'te yerleşik olarak bulunan ve aygıta çok güvenli erişimi hızlandıran ve kolaylaştıran bir parmak izi algılama sistemidir. Bu ileri teknoloji parmak izlerini her açıdan okur ve her kullanımla birlikte yeni üst üste binen düğümleri tanımlayarak parmak içi haritasını genişletmeye devam etmesi sayesinde zaman içinde bir kullanıcının parmak izi hakkında daha fazla şey öğrenir. Touch ID uzun ve karmaşık parolalar kullanmayı kullanıcılar için kolaylaştırır, çünkü kullanıcıların parolalarını sık sık girmeleri gerekmez. Touch ID parola tabanlı bir kilidin kullanışsızlığını, bu kilidin yerini alarak değil aygıta karmaşık sınırlamalar ve zaman kısıtları olmadan güvenli bir şekilde erişim sağlayarak ortadan kaldırır. 18

19 Touch ID etkinleştirildiğinde, iphone 5s Uyutma/Uyandırma düğmesine basıldığında anında kilitlenir. Yalnızca parola güvenliğiyle, pek çok kullanıcı aygıtı her kullandıklarında parola girmek zorunda kalmamak için bir kilitleme bekleme süresi ayarlayabilir. Touch ID ile, iphone 5s her uyku moduna geçtiğinde kilitlenir ve her uyanma için bir parmak izi (veya isteğe bağlı olarak parola) gerekir. Touch ID, Apple A7 çipte üretilen bir yardımcı işlemci olarak Güvenli Bölge ile birlikte çalışır. Güvenli Bölge'nin kendi korunan, şifreli bellek alanı vardır ve Touch ID sensörüyle güvenli bir şekilde iletişim kurar. iphone 5s kilitlendiğinde, Veri Koruma sınıfı Tam Güvenli Bölge'nin şifreleme belleğinde tutulan bir anahtarla korunur. Bu anahtar en fazla 48 saat tutulur ve iphone 5s yeniden başlatıldığında veya tanınmayan bir parmak izi beş kez kullanıldığında atılır. Bir parmak izi tanındığında, Güvenli Belge Veri Koruma anahtarlarını açmak için gerekli anahtarı sağlar ve aygıtın kilidi açılır. Uzaktan silme ios uzaktan silmeyi destekler. Bir aygıt çalındığında veya kaybolduğunda, yönetici veya aygıtın sahibi tüm verileri silen ve aygıtı devreden çıkaran bir uzaktan silme komutu verebilir. Aygıt bir Exchange hesabıyla yapılandırılmışsa, yönetici Exchange Yönetim Konsolu, Exchange ActiveSync Mobil Yönetim Web aracı (Exchange Server 2003 veya 2007) kullanılarak bir uzaktan silme işlemi başlatabilir. Exchange Server 2007 kullanıcıları doğrudan Outlook Web Erişimi kullanarak uzaktan silme komutları başlatabilir. Uzaktan silme komutları, Exchange kurumsal hizmetleri kullanılmadığında bile MDM çözümleriyle veya icloud'un iphone'umu Bul özelliğini kullanarak da başlatılabilir. Yerel silme Aygıtlar birkaç başarısız parola denemesinden sonra otomatik olarak bir yerel silme işlemi başlatacak şekilde de yapılandırılabilir. Bu aygıta erişmek amaçlı brute-force saldırılarına karşı koruma sağlar. Bir parola oluşturulduğunda, kullanıcılar doğrudan ayarlar içinde yerel silmeyi etkinleştirebilirler. Varsayılan olarak, ios aygıtı 10 başarısız parola denemesinden sonra otomatik olarak siler. Diğer parola ilkelerinde olduğu gibi, maksimum başarısız deneme sayısı bir yapılandırma profili aracılığıyla oluşturulabilir, bir MDM sunucusu tarafından atanabilir veya Microsoft Exchange ActiveSync ilkeleri aracılığıyla kablosuz zorlanabilir. iphone'umu Bul ve Etkinleştirme Kilidi Bir aygıt kaybolduğunda veya çalındığında, aygıtı devreden çıkarmak ve silmek önemlidir. ios 7'de iphone'umu Bul özelliği açıldığında, aygıt sahibinin icloud kullanıcı bilgileri girilmeden yeniden etkinleştirilemez. Kuruma ait aygıtları denetlemek veya iphone'umu Bul'un kuruluşun aygıtı başka bir kişi tarafından kullanılmak üzere atamasını önlememek için bu özelliği devreden çıkarmak amacıyla bir ilke kullanmak iyi bir fikirdir. ios 7.1 veya daha sonraki sürümlerde bir kullanıcı iphone'umu Bul'u açtığında Etkinleştirme Kilidini çalıştırmak için uyumlu bir Mobil Aygıt Yönetimi çözümü kullanabilirsiniz. Mobil Aygıt Yönetimi çözümünüz Etkinleştirme Kilidi devreye sokulduğunda bir geçiş kodu depolayabilir ve aygıtı silmeniz veya başka bir kullanıcının kullanımına sunmanız gerektiğinde Etkinleştirme Kılavuzunu otomatik olarak temizlemek için daha sonra bu kodu kullanabilir. Ayrıntılar için Mobil Aygıt Yönetimi çözümünüzün belgelerine bakın. iphone'umu Bul ve Etkinleştirme Kilidi hakkında daha fazla bilgi için lütfen icloud Desteği ve Mobil Aygıt Yönetimi ve iphone'umu Bul Etkinleştirme Kilidi belgelerine başvurun. 19

20 Ağ güvenliği Yerleşik Cisco IPSec, L2TP, PPTP VPN App Store uygulamaları aracılığıyla SSL VPN SSL/TLS ve X.509 sertifikaları WPA/WPA2 Enterprise ve 802.1X Sertifika tabanlı kimlik doğrulama RSA SecurID, CRYPTOCard VPN protokolleri Cisco IPSec L2TP/IPSec PPTP SSL VPN Kimlik doğrulama yöntemleri Parola (MSCHAPv2) RSA SecurID CryptoCard X.509 dijital sertifikaları Paylaşılan sır 802.1X kimlik doğrulama protokolleri EAP-TLS EAP-TTLS EAP-FAST EAP-SIM PEAP v0, v1 LEAP Desteklenen sertifika formatları ios, RSA anahtarlı X.509 sertifikalarını destekler..cer,.crt ve.der dosya uzantıları tanınır. Ağ Güvenliği Mobil kullanıcıların kurumsal bilgi ağlarına dünyanın her yerinden erişebilmeleri gerekir. Bununla birlikte, kullanıcıların yetkili olması ve aktarım sırasında verilerinin korunması sağlanmalıdır. ios bu güvenlik hedeflerine hem Wi-Fi ağlarında hem hücresel veri ağı bağlantılarında ulaşabilecek kanıtlanmış teknolojiler sağlamaktadır. Mevcut altyapınıza ek olarak, her FaceTime oturumu ve imessage sohbetleri uçtan uca şifrelenir. ios iletişimin şifrelenmesini, yönlendirilmesini ve doğru bir şekilde bağlanmasını sağlayarak her kullanıcı için benzersiz bir kimlik oluşturur. VPN Çoğu kurumsal ortamda bir tür sanal özel ağ (VPN) kuruludur. Bu güvenli ağ hizmetleri zaten dağıtılmıştır ve ios ile birlikte çalışmak için tipik olarak en düşük oranda ayar ve yapılandırma gerektirir. ios kutudan çıkar çıkmaz çok sayıda yaygın kullanılan VPN teknolojisine entegre olur. Daha fazla bilgi için Bölüm 1'deki Sanal Özel Ağlar başlığına bakın. SSL/TLS ios; SSL s3 ve Transport Layer Security (TLS s1.0, 1.1 ve 1.2) özelliklerini destekler. Safari, Takvim, Mail ve diğer İnternet uygulamaları, ios ve şirket hizmetleri arasında şifreli bir iletişim kanalı oluşturmak için bu mekanizmaları otomatik olarak başlatır. WPA/WPA2 ios kurumsal kablosuz ağınıza kimlik doğrulamalı erişim sağlamak için WPA2 Enterprise'ı destekler. WPA2 Enterprise, 128-bit AES şifrelemeyle kullanıcılara, bir Wi-Fi ağı bağlantısı aracılığıyla iletişim kurduklarında verilerinin güvende kalacağı konusunda en yüksek seviyede garantiyi verir X desteğiyle, iphone ve ipad çok çeşitli RADIUS kimlik doğrulama ortamlarına entegre edilebilir. Uygulama Güvenliği ios güvenlik merkeze alınarak tasarlanmıştır. Uygulamaların değiştirilmemesini sağlamak için uygulama çalışma zamanı korumasına ve uygulama imzalamaya bir yalıtma yaklaşımı katar. ios, uygulama ve ağ hizmeti kullanıcı bilgilerinin anahtar zinciri adını taşıyan şifrelenmiş bir depoda güvenli bir şekilde depolanmasını kolaylaştıran bir çerçeveye sahiptir. Geliştiriciler için, uygulama veri depolarını kullanabilen bir Common Crypto mimarisi sağlar. Çalışma zamanı koruması Aygıttaki uygulamalar, depolanan verilere başka uygulamaların erişimini kısıtlamak için yalıtılır. Ayrıca, sistem dosyaları, kaynaklar ve çekirdeği kullanıcının uygulama alanından korunur. Bir uygulamanın başka uygulamaların verilerine erişmesi gerekiyorsa, bunu ios tarafından sağlanan API'leri ve hizmetleri kullanarak yapabilir. Kod üretimi de önlenir. Zorunlu kod imzalama Tüm ios uygulamaları imzalanmalıdır. Aygıtla birlikte sağlanan uygulamalar Apple tarafından imzalanır. Üçüncü taraf uygulamaları Apple tarafından üretilen bir sertifika kullanılarak geliştirici tarafından imzalanır. Bu, uygulamaların değiştirilmemesini veya bozulmamasını sağlar. Ayrıca, bir uygulamanın son kullanılmasından bu yana güvenilmez hale gelmediğinden emin olmak için çalışma zamanı kontrolleri yapılır. 20