bloqueando el acceso de ActiveSync a iPhones inseguros

Navega tus respuestas
6

Teniendo en cuenta que el iPhone 3GS y el iPhone 4 (y el último iPad) son compatibles con encriptación local del dispositivo , ¿cómo se hace cumplir que solo los dispositivos seguros pueden conectarse a su punto final ActiveSync?

En otras palabras, ¿cómo evita que los iPhones y iPad antiguos (que no admiten el cifrado local) accedan al servidor y descarguen mensajes con archivos adjuntos en un almacenamiento no protegido?

    
pregunta random65537 01.12.2010 - 23:47
fuente

6 respuestas

5

Exchange 2010 / Windows R2

Exchange 2010 incluye gran parte de esta funcionalidad incorporada, e IIS en 2008R2 permite la capacidad de filtrar en URL similares a la solución de 2003 a continuación.

  1. Navegue a OWA a través de esta URL especial enlace ecp /
  2. Haz clic en "Teléfono y voz"
  3. Cree una nueva "regla de acceso al dispositivo" y configúrela para poner en cuarentena o permitir iPhones.
  4. Tenga en cuenta que no existe una diferencia práctica entre DeviceModel y DeviceFamily.
  5. (Aún no probado personalmente) En IISManager, abra el Filtro de solicitud
  6. Desplácese hacia la derecha para editar las cadenas de consulta.
  7. Agregue el bloque apropiado, de acuerdo con la tabla de URL a continuación.

Los adictos a la línea de comandos también pueden administrar dispositivos y políticas predeterminadas. Por lo que puedo decir, hay una paridad de características completa entre el ECP y la línea de comandos: 

Get-ActiveSyncOrganizationSettings | fl UserMailInsert, AdminMailRecipients, DafaultAccessLevel
Set-ActiveSyncOrganizationSettings -UserMailInsert "Your phone has not been approved, contact IT at x443 to enable email access for this phone" -AdminMailRecipients [email protected]

Exchange 2003 / Windows 2003

Instalamos Mod_Rewrite (un puerto de Apache para IIS) en cada uno de nuestros servidores Exchange 2003 / Front End para controlar el acceso.

Aquí está el conjunto de reglas que estamos planeando poner en producción y bloqueará el acceso a estos servidores según el campo User_Agent . Nota: Este conjunto de reglas todavía está en prueba y puede ser revisado. Si tienes comentarios, por favor agrégalos. 

############## RULE 1 ############### 
# 
# Exclude Disallowed Devices 
# 

#Do match and prevent version 4.3.2  (Part 1)
# RewriteCond %{HTTP_USER_AGENT} Apple-iPhone2C1/801.8* [NC,OR] 
# RewriteCond %{HTTP_USER_AGENT} Apple-iPhone3C1/808.8* [NC,OR] 
# RewriteCond %{HTTP_USER_AGENT} Apple-iPad2C3/808.8* [NC,OR] 

#Do match and prevent version 4.3.2  (Part 2)
# RewriteCond %{HTTP_USER_AGENT} Apple-iPhone2C1/801.7* [NC,OR] 
# RewriteCond %{HTTP_USER_AGENT} Apple-iPhone3C1/808.7* [NC,OR] 
# RewriteCond %{HTTP_USER_AGENT} Apple-iPad2C1/808.7* [NC,OR] 
# RewriteCond %{HTTP_USER_AGENT} Apple-iPad1C1/808.7* [NC,OR] 

#Do match and prevent version 4.0  
RewriteCond %{HTTP_USER_AGENT} Apple-iPhone2C1/801.293.* [NC,OR] 
RewriteCond %{HTTP_USER_AGENT} Apple-iPhone3C1/801.293.* [NC,OR] 

#Do match and prevent version 3.13 ,  3.21 , 3.2 
RewriteCond %{HTTP_USER_AGENT} Apple-iPhone2C1/70.* [NC,OR] 
RewriteCond %{HTTP_USER_AGENT} Apple-iPhone3C1/70.* [NC,OR] 

#Do match and prevent iPad version 3.2 (7b367)
RewriteCond %{HTTP_USER_AGENT} Apple-iPad/702.* [NC,OR] 

#Do match and prevent iPad version 3.3X? 
RewriteCond %{HTTP_USER_AGENT} Apple-iPad1C1/702.500.* [NC] 
RewriteRule ^(.*)$ http://www.nfp.com?rule1 [R=301,L] 

############## RULE 2 ############### 
# 
#  Only Permit iPhones and iPads to connect.   
#  If they got this far, then they are not a banned / blacklisted device. 
# 

RewriteCond %{HTTP_USER_AGENT} .*iPhone.* [NC] 
# Do not alter the URL, and let it come through unmodified. 
RewriteRule ^.*$ - [NC,L] 

RewriteCond %{HTTP_USER_AGENT} .*iPad.* [NC] 
# Do not alter the URL, and let it come through unmodified. 
RewriteRule ^.*$ - [NC,L] 

############## RULE 3 ############### 
# 
# Block all other devices,  deny rule 
# 
RewriteRule ^(.*)$ http://www.nfp.com/?rule=3 [L,R=301] 

#Device Reference
#iPhone Simulator == i386
#iPhone == iPhone
#3G iPhone == iPhone1C2
#3GS iPhone == iPhone2C1
#4 iPhone == iPhone3C1
#1st Gen iPod == iPod1C1
#2nd Gen iPod == iPod2C1
#3rd Gen iPod == iPod3C1
#Apple-iPad1C1


# The 1st part of that string is always just "Apple-".
# The 2nd part of the string is DeviceType and is defined just
# like the URL above and is either "iPhone" or "iPad".
# The 3rd part of that string is just a delimiter "/".
# The 4th and final part of that string is the software version formatted in a way that Exchange Servers can digest it.

# Here's an example of creating that 4th part of the string using software build version for iPhone which is 7E18 aka iPhone OS 3.1.3.

# The first number from 7E18 (the 7) will become a "7" in the translated string.
# The first letter from 7E18 (the E) will become a "05" since it is the 5th letter of the English alphabet.
# Then you insert a "." (dot).
# The second number from 7E18 (the 18) will become "18".  It will be padded with zeros to be 3 digits
    
respondido por el random65537 01.12.2010 - 23:51
fuente
6

Recuerde que incluso un dispositivo con cifrado local puede no tener bloqueo de código de acceso y se puede hacer una copia de seguridad a través de iTunes en un volumen no cifrado. Si ese volumen está en una computadora portátil, entonces es igual de portátil y perdible.

    
respondido por el user185 02.12.2010 - 10:09
fuente
3

Puede utilizar la autenticación basada en certificados. Si no proporciona un certificado, no se pueden autenticar. Aquí hay un enlace, pero puede ser diferente dependiendo de su versión de Exchange.

Esto agrega cierta sobrecarga operativa si desea admitir dispositivos móviles, debe proporcionar e instalar los certificados. Pero te permitirá elegir qué dispositivos pueden o no pueden conectarse.

enlace

Editar: agregando enlaces para configurar ActiveSync con certificados.

enlace

enlace

    
respondido por el Wayne 02.12.2010 - 04:38
fuente
3

Podría considerar evaluar el producto de Good Technology's ? Parece que podría abordar sus inquietudes e incluso permitirle admitir de manera segura una gama más amplia de dispositivos. Desafortunadamente, agregaría una capa adicional de software y aumentaría su costo.

    
respondido por el sdanelson 03.12.2010 - 05:59
fuente
3

En la guía de implementación empresarial del iPhone , hay una sección en Exchange ActiveSync, que menciona la "Solicitud "Política de cifrado de dispositivos" que debería evitar que los dispositivos iOS sin cifrado se conecten al servicio.

    
respondido por el Rоry McCune 06.12.2010 - 14:55
fuente
1

Codeproof MDM se integra con Exchange Server y proporciona varias reglas para bloquear / permitir dispositivos con varias propiedades de dispositivos. Es posible que desee comprobarlo.

Divulgación: Yo trabajo para Codeproof.

--------- Más detalles agregados según la solicitud del miembro ---------------

Codeproof es un servicio MDM basado en SaaS fácil de usar y de bajo costo. Recientemente, agregamos una nueva función de seguridad de Exchange Activesync llamada "Codeproof SecureSync". Hemos desarrollado complementos de intercambio que se comunican con su cuenta de Codeproof y donde puede establecer varias reglas para permitir / bloquear dispositivos como bloquear dispositivos desbloqueados, dispositivos desbloqueados, etc. Algunas reglas requieren que la aplicación Codeproof Agent esté instalada en sus dispositivos móviles.

UI de la consola de administración:

    
respondido por el Satish Shetty 10.02.2013 - 05:31
fuente

Lea otras preguntas en las etiquetas

¿Es posible descifrar una sesión SSL / TLS sin realizar un ataque MITM? ¿Puedo recuperar una cuenta de gmail de un empleado?