Preparar tu entorno de red para cumplir requisitos de seguridad más estrictos
Los sistemas operativos de Apple exigirán una seguridad de red más estricta para los procesos del sistema. Comprueba si las conexiones de tu servidor cumplen los nuevos requisitos.
Este artículo va dirigido a profesionales de administración de TI y de desarrollo de servicios de gestión de dispositivos.
A partir de la próxima versión principal del software, debido a nuevos requisitos de seguridad de red, los sistemas operativos de Apple (iOS, iPadOS, macOS, watchOS, tvOS y visionOS) podrían rechazar las conexiones a servidores con configuraciones de TLS obsoletas o que no cumplan los requisitos.
Deberías revisar tu entorno para identificar los servidores que no cumplen estos requisitos. Actualizar las configuraciones de los servidores para que cumplan estos requisitos puede llevar bastante tiempo, sobre todo en el caso de los servidores que gestionan proveedores externos.
Conexiones afectadas y requisitos de configuración
Los nuevos requisitos se aplican a las conexiones de red que participan directamente en las siguientes actividades:
Gestión de dispositivos móviles (MDM)
Gestión declarativa de dispositivos (DDM)
Inscripción automatizada de dispositivos
Instalación de perfiles de configuración
Instalación de apps, incluida la distribución de apps corporativas
Actualizaciones de software
Excepciones: Las conexiones de red a un servidor SCEP (durante la instalación de un perfil de configuración o la resolución de un activo DDM) y los servidores de almacenamiento en caché de contenido (incluso cuando se solicitan activos relacionados con la instalación de apps o actualizaciones de software) no se ven afectados.
Requisitos: los servidores deben ser compatibles con TLS 1.2 o versiones posteriores, utilizar conjuntos criptográficos compatibles con ATS y presentar certificados válidos que cumplan los estándares de ATS. Para conocer todos los requisitos de seguridad de la red, consulta la documentación para desarrolladores:
Revisar si hay conexiones en tu entorno que no cumplan los requisitos
Utiliza dispositivos de prueba para identificar las conexiones a servidores de tu entorno que no cumplan los nuevos requisitos de TLS.
Planificar la cobertura de las pruebas
Las diferentes configuraciones de los dispositivos pueden conectarse a diferentes servidores. Para asegurarte de que tu auditoría sea exhaustiva, comprueba todas las configuraciones que se aplican a tu entorno.
Entorno: producción, despliegue, prueba
Tipo de dispositivo: iPhone, iPad, Mac, Apple Watch, Apple TV, Apple Vision Pro
Función: grupo de usuarios (ventas, ingeniería, contabilidad), dispositivo de atención al público, dispositivo compartido
Tipo de inscripción: inscripción automatizada de dispositivos, inscripción basada en cuentas, inscripción de dispositivos basada en perfiles, iPad compartido
Repite los siguientes pasos de auditoría para cada configuración que se conecte a servidores diferentes.
Instalar el perfil de registro de diagnóstico de red
Descarga e instala el perfil de registro de diagnóstico de red en un dispositivo de prueba representativo que ejecute iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4, visionOS 26.4 o versiones posteriores, para habilitar el registro. Una vez instalado el perfil, reinicia el dispositivo de prueba.
Para asegurarte de que los eventos de registro contengan los detalles necesarios para identificar las conexiones que no cumplen los requisitos, debes instalar este perfil antes de realizar cualquier prueba. Si estás probando la inscripción automática de dispositivos en un iPhone o iPad, usa Apple Configurator para Mac con el fin de instalar el perfil antes de que el dispositivo llegue al panel de gestión de dispositivos del Asistente de Configuración.
Ejecutar tus flujos de trabajo habituales
Usa el dispositivo de prueba como lo harías normalmente en tu entorno. Inscríbelo en la gestión de dispositivos, instala apps y perfiles, y realiza cualquier otro proceso que se conecte a los servidores de tu organización.
El objetivo es generar tráfico de red hacia todos los servidores que puedan verse afectados por los nuevos requisitos de TLS.
Recopilar un informe de diagnóstico del sistema
Una vez ejecutados tus flujos de trabajo, recopila un informe de diagnóstico del sistema del dispositivo de prueba. Este archivo de diagnóstico contiene los eventos de registro que necesitas para identificar las conexiones que no cumplan los requisitos.
Revisar los registros
Transfiere el informe de diagnóstico del sistema a un Mac y expande el archivo .tar.gz. En Terminal, ve al directorio principal dentro del informe de diagnóstico del sistema ampliado y filtra los eventos de registro relevantes con este comando:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Cada evento del registro incluye tres datos clave:
Dominio: el dominio del servidor para este evento de conexión.
Proceso: el proceso que estableció la conexión, lo que te ayuda a determinar el propósito de la conexión de red con ese dominio.
Advertencia: la restricción que ha incumplido la conexión y en qué sentido el servidor no cumple los requisitos (una sola conexión puede generar varias advertencias si el servidor no cumple varios requisitos).
Interpretar los registros de advertencia
Los siguientes mensajes de registro indican que hay servidores que no cumplen los nuevos requisitos de TLS. Las infracciones se marcan como infracciones generales de la política de ATS («Warning [ATS Violation]») o infracciones concretas del estándar FCP v2.1 («Warning [ATS FCPv2.1 violation]»).
Si estos registros los genera un proceso que se conecta a un servidor específico de tu empresa, entonces esos servidores deben actualizarse para que cumplan los nuevos requisitos.
Mensaje de registro | Significado | Solución |
|---|---|---|
Warning [ATS violation]: Ciphersuite([negotiated ciphersuite]) not offered in ATS negotiated for server: www.example.com | El servidor negoció un conjunto criptográfico que no es PFS y que no se ofrece cuando el cliente exige ATS. | Los servidores deben ser compatibles con conjuntos criptográficos PFS (cualquier conjunto criptográfico TLS 1.3 y los conjuntos criptográficos TLS 1.2 con ECDHE). |
Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com | El servidor negoció una versión de TLS anterior a TLS 1.2. TLS 1.0/1.1 están obsoletos y ya no se ofrecen de forma predeterminada. | Actualizar los servidores para que utilicen TLS 1.3 siempre que sea posible (como mínimo, TLS 1.2). |
Warning [ATS Violation]: ATS certificate trust requirement not satisfied for server: www.example.com | El certificado del servidor no superó la evaluación de confianza predeterminada porque no cumplía los requisitos mínimos establecidos aquí. | Actualizar el certificado del servidor para que cumpla estos requisitos. Si el certificado se encuentra en los certificados de referencia del perfil de inscripción automática, entonces no hace falta hacer nada. |
Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com | El certificado del servidor se firmó con una clave RSA de menos de 2048 bits. | Actualizar el certificado del servidor para que cumpla estos requisitos. |
Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com | El certificado del servidor se firmó con una clave ECDSA de menos de 256 bits. | |
Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com | El certificado del servidor no utilizaba un algoritmo Secure Hash Algorithm 2 (SHA-2) con una longitud de resumen de al menos 256 bits. | |
Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com | Se usó HTTP sin formato en lugar de HTTPS. | Actualizar el servidor para que admita HTTPS. |
Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com | El servidor eligió rsa_pkcs15_sha1 como algoritmo de firma. | Actualizar la configuración para dar prioridad a los algoritmos de firma modernos. |
Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [signature algorithm] not advertised in ClientHello for server: www.example.com | El certificado del servidor se firmó utilizando un algoritmo de firma que no se indica en el ClientHello. | Actualizar el certificado del servidor para que se firme con un algoritmo de firma que tenga un código TLS y que no sea rsa_pkcs15_sha1. |
Warning [ATS FCPv2.1 violation]: TLS 1.2 negotiated without extended master secret (EMS) for server: www.example.com | El servidor negoció TLS 1.2 y no la extensión Extended Master Secret (EMS). | Actualizar los servidores para que utilicen TLS 1.3 o, como mínimo, actualizar su configuración de TLS 1.2 para que negocien EMS. |
Validar servidores individuales
Una vez identificados los servidores que no cumplen los requisitos en la auditoría, puedes comprobarlos uno por uno para verificar las infracciones concretas o confirmar que la corrección se ha llevado a cabo con éxito.
Ejecuta el siguiente comando cambiando «https://example.com:8000» por tu servidor o punto final.
nscurl --ats-diagnostics https://example.com:8000/
Este comando comprueba si el servidor cumple los requisitos para diversas combinaciones de políticas de ATS. Busca el resultado de la prueba utilizando ATS con el modo FCP_v2.1 activado:
Configuring NIAP TLS package version requirements
---
FCP_v2.1
Result : PASS
---
Si el resultado es «PASS», el servidor cumple todos los requisitos.
Más información sobre cómo identificar el origen de las conexiones bloqueadas
Solución
Colabora con los propietarios de los servidores afectados para actualizar sus configuraciones de TLS. Los propietarios del servidor pueden ser personas de la empresa, tu servicio de gestión de dispositivos o un proveedor externo.
Cuando te contactes con el personal de administración del servidor para solucionar el problema, envía este artículo y los mensajes de advertencia concretos que hayas visto.
La solución podría incluir lo siguiente:
Actualizar los servidores para que sean compatibles con TLS 1.2 o versiones posteriores (se recomienda TLS 1.3).
Los servidores compatibles únicamente con TLS 1.2 deben admitir, como mínimo, algoritmos de intercambio de claves que ofrezcan Perfect Forward Secrecy (ECDHE), conjuntos criptográficos AEAD basados en AES-GCM con SHA-256, SHA-384 o SHA-512, y la extensión del secreto maestro ampliado (RFC 7627).
Actualizar los certificados para que cumplan los requisitos de ATS en cuanto al tamaño de la clave, el algoritmo de firma y la validez.
Recursos adicionales
Descubrir cómo evitar las conexiones de red inseguras y App Transport Security
Ponte en contacto con tu Responsable del éxito del cliente o con el soporte para empresas de AppleCare para obtener más asistencia.