Red privada virtual (VPN)

Una red privada virtual (VPN) garantiza que todos los datos se transmitan a través de un túnel seguro, lo que significa que requiere estrictamente autenticación o un certificado especial para establecer la conectividad. Por lo tanto, todas las empresas prefieren configurar VPN para garantizar que todos los datos corporativos estén protegidos contra piratas informáticos o usuarios no auténticos. La VPN es una necesidad, sin la cual los usuarios no pueden acceder a la red corporativa fuera del trabajo. Dado que los dispositivos móviles se han convertido en parte de la productividad, los empleados deben poder acceder a los datos corporativos desde cualquier lugar o lugar. Como administrador, tiene la necesidad de configurar VPN para todos los dispositivos móviles administrados. Puede crear y asociar perfiles VPN a dispositivos.

VPN y VPN a pedido

Cuando se configura un perfil de VPN en un dispositivo, los usuarios deben activar la configuración de VPN en el dispositivo móvil cada vez antes de acceder a datos corporativos seguros. Dado que la VPN se ejecuta a través de Wi-Fi o datos móviles, la conectividad VPN se apaga automáticamente cada vez que el dispositivo pierde la conexión con Internet. Los usuarios tienen que encenderlo manualmente para acceder a los datos corporativos. Para superar esto, puede elegir VPN On-Demand. Como su nombre lo indica, la conectividad VPN se establece solo cuando los dominios específicos lo requieren y el usuario no necesita activar la VPN manualmente.

Debe especificar el dominio para el que se debe activar la VPN. Puede separar por comas varios dominios para agregarlos. La tabla que se menciona a continuación lo ayuda con las entradas que deben ingresarse en el servidor del producto para configurar la VPN para dispositivos móviles.

MDM admite los siguientes tipos de conexiones VPN integradas:

Además de las VPN integradas mencionadas anteriormente, Mobile Device Manager Plus también admite las siguientes VPN enchufables. Estas VPN requieren que se instale una aplicación adicional en los dispositivos.

NOTA: Estas aplicaciones también se pueden configurar de forma inalámbrica mediante la función Configuraciones de aplicaciones .

La aplicación Juniper SSL no está disponible en la App Store. Este tipo de VPN solo se puede configurar para dispositivos que ya tienen la aplicación presente. Para configurar VPN SSL personalizada, el administrador debe ingresar manualmente los detalles de la aplicación. Todas las demás aplicaciones de complemento se pueden agregar mediante ABM y distribuir silenciosamente a los dispositivos. Haga clic aquí para obtener más información sobre la distribución de aplicaciones y haga clic aquí para saber cómo instalar aplicaciones de forma silenciosa en dispositivos iOS.

Usar certificado para autenticación

Además de configurar VPN en los dispositivos administrados, MDM también le brinda la opción de aprovisionar VPN en los dispositivos usando el certificado como medio de autenticación. La autenticación, como todos sabemos, juega un papel importante en el establecimiento de una conexión VPN y el certificado generalmente se considera una forma de autenticación mucho más segura que la clave precompartida. Además, en el caso de grandes redes VPN, administrar una gran cantidad de claves previamente compartidas puede resultar engorroso. Los certificados en este caso son una alternativa mucho más escalable. Además, las claves previamente compartidas están vinculadas a una dirección IP, pero los certificados no están vinculados a una dirección IP, lo que garantiza que los usuarios remotos con una dirección IP asignada dinámicamente puedan autenticarse utilizando la información de identificación contenida en el certificado. Puede configurar el certificado como se explica aquíy distribuirlos a gran escala como se explica aquí .

Los siguientes documentos le ayudarán a configurar Cisco AnyConnect en sus dispositivos móviles:

Especificación de perfil

Descripción

VPN

Nombre de la conexión

Especifique el nombre, que debe mostrarse como nombre de VPN en el dispositivo móvil del usuario final

Tipo de conección

Tipo de conexión a habilitar

Nombre del servidor / dirección IP

Nombre de host o dirección IP del servidor

Identificador local (se puede configurar solo si el tipo de conexión está configurado como IKEv2)

Especifique la identidad del certificado del usuario / dispositivo

Identificador remoto (se puede configurar solo si el tipo de conexión está configurado como IKEv2)

Especifique la identidad del certificado del servidor

Cuenta

La 'Autenticación de usuario para acceder a la VPN' (% username%) obtendrá el nombre de usuario apropiado, asignado al dispositivo

Reino (solo se puede configurar si el tipo de conexión está configurado como Juniper SSL / Pulse VPN)

Especifique el reino de autenticación. Un reino de autenticación especifica los criterios que los usuarios deben cumplir para utilizar el servicio VPN. Es una agrupación de recursos de autenticación, incluido el servidor de autenticación, la política de autenticación, etc. Esto generalmente lo hacen los administradores de red.

Rol (se puede configurar solo si el tipo de conexión está configurado como Juniper SSL / Pulse VPN)

Especifique el rol del usuario. Un rol de usuario es una entidad que define los parámetros de la sesión del usuario (como la configuración de la sesión), la configuración de personalización (como los marcadores) y otras funciones de acceso habilitadas. Por ejemplo, un rol de usuario puede definir si un usuario puede o no realizar la navegación web.

Autenticacion de usuario

Especifique el tipo de autenticación de usuario como contraseña o RSA securID

Autenticación de la máquina (solo se puede configurar si el tipo de conexión está configurado como IPSec (Cisco))

Especifique la contraseña que se utilizará para la autenticación de la máquina

Contraseña (solo se puede configurar si la autenticación de usuario está configurada como Contraseña)

Especifique la contraseña que se utilizará para la autenticación de usuarios

Certificado de identidad (solo se puede configurar si la autenticación de la máquina está configurada como certificado)

Especifique el certificado de identidad que se utilizará para la autenticación basada en certificados. También puede usar SCEP para esto.

Incluir PIN de usuario (solo se puede configurar si la autenticación de la máquina está configurada como certificado)

Especifique si el PIN de usuario debe incluirse o no.

Nombre de grupo (solo se puede configurar si la autenticación de usuario está configurada como Contraseña)

Especifique el nombre del grupo que se utilizará para identificar el grupo. El grupo debe terminar con [híbrido] si la autenticación híbrida está habilitada

Secreto compartido

Especificar el secreto previamente compartido

Usar autenticación híbrida (solo se puede configurar si la autenticación de la máquina está configurada como secreto compartido)

Habilite la autenticación híbrida, una alternativa segura a la autenticación habitual utilizada

Solicitar contraseña (solo se puede configurar si la autenticación de la máquina está configurada como secreto compartido)

Activar / desactivar la solicitud de contraseña del usuario

Nivel de cifrado (solo se puede configurar si el tipo de conexión está configurado como PPTP)

Especifique la contraseña que se utilizará para la autenticación de usuarios

Enviar todo el tráfico

Enruta todo el tráfico de la red a través de una conexión VPN

Datos personalizados (se puede configurar solo para el tipo de conexión que admite configuraciones adicionales)

Especifique los datos personalizados para incluir configuraciones adicionales a la conexión VPN.

Identificador de complemento (solo se puede configurar si el tipo de conexión está configurado como SSL personalizado)

Especifique el identificador del complemento para identificar las aplicaciones y aplicar VPN en el dispositivo.

Nombre de la aplicación (solo se puede configurar si el tipo de conexión está configurado como SSL personalizado)

Especifique el nombre de la aplicación.

Configuración avanzada (solo se puede configurar si el tipo de conexión está configurado como IKEv2)

Tasa de detección de pares muertos (DPD)

DPD se utiliza para identificar si la conexión entre el dispositivo administrado y la VPN se ha establecido o no. Si el DPD se establece como alto, el intervalo de tiempo para verificar el establecimiento de la conexión es minúsculo. Si se establece como medio o bajo, el intervalo de tiempo aumenta.

Habilitar el secreto directo perfecto (PFS)

Perfect Forward Secrecy (PFS) es una propiedad que garantiza la seguridad de las comunicaciones pasadas en caso de que las claves / contraseñas secretas se vean comprometidas en el futuro. Por ejemplo, incluso si alguien tiene acceso a la clave / contraseña secreta en este momento, no se puede utilizar para acceder a comunicaciones anteriores.

Habilitar verificación de revocación de certificados

Esto se puede usar para verificar que la CA haya revocado el certificado provisto para el dispositivo en particular.

Desactivar MOBIKE

MOBIKE asegura que la conexión con la puerta de enlace VPN esté activa mientras se mueve de una dirección a otra. Además, en caso de que el host esté conectado a varias redes, MOBIKE se puede usar para mover el tráfico a una interfaz diferente si, por ejemplo, la que se usa actualmente deja de funcionar.

Usar subred IPv4 interna

Permitir / restringir el uso de atributos de subred internos IPv4 distribuidos.

Deshabilitar la redirección

Permitir / restringir la redirección de la conexión de una puerta de enlace VPN a otra.

Parámetros IKE SA (solo se pueden configurar si el tipo de conexión se establece como IKEv2)

La Asociación de seguridad de intercambio de claves de Internet (IKE SA) se utiliza para establecer la comunicación entre la VPN y los dispositivos por primera vez, ya sea mediante certificado / clave precompartida / nombre de usuario.

Algoritmo de cifrado

La técnica de cifrado que se utilizará para compartir los datos para establecer la conexión. Se admiten técnicas de cifrado comunes como DES, AES, POLY, etc.

Algoritmo de integridad

La técnica de integridad que se utilizará para compartir los datos para establecer la conexión. Se admiten técnicas de integridad comunes como SHA, MD5, etc.

Grupo Diffie-Hellman

Especifique el grupo de algoritmos Diffie-Hellman que se utilizará para el intercambio de claves.

Vida útil (en minutos)

Especifique la duración máxima posible para que se establezca la conexión.

Parámetros de SA secundarios (solo se pueden configurar si el tipo de conexión se establece como IKEv2)

La Child Security Association (IKE SA) se utiliza para asegurar la comunicación que ocurre entre los puntos finales, después de que se ha establecido la conexión VPN durante IKE SA

Algoritmo de cifrado

La técnica de cifrado que se utilizará para cifrar los datos que se comparten. Se admiten técnicas de cifrado comunes como DES, AES, POLY, etc.

Algoritmo de integridad

El tipo de algoritmo de integridad que se utilizará en los datos que se comparten. Se admiten técnicas de integridad comunes como SHA, MD5, etc.

Grupo Diffie-Hellman

Especifique el grupo de algoritmos Diffie-Hellman que se utilizará para el intercambio de claves.

Vida útil (en minutos)

Especifique la duración máxima posible para que la conexión esté activa.

VPN bajo demanda

Habilitar VPN a pedido

Al habilitar esto, se activa VPN, como cuando se requiere conectividad VPN para llegar al servidor / dominio específico y el dispositivo no está en la red corporativa

Especifique los dominios

Debe especificar la lista de dominios para los que se debe habilitar VPN a pedido. Puede ingresar varios nombres de dominio usando la separación por comas.

Configurar proxy

Configuración de proxy

Configurar los ajustes de proxy para VPN

URL del servidor (solo se puede configurar si el proxy está configurado como automático)

Especifique la URL que contiene el Proxy PAC.

Servidor (solo se puede configurar si Proxy está configurado como Manual)

Nombre del servidor proxy

Puerto (solo se puede configurar si Proxy está configurado como Manual)

Número de puerto que se utilizará

Nombre de usuario (solo se puede configurar si Proxy está configurado como Manual)

Nombre de usuario para autenticación

Contraseña (solo se puede configurar si Proxy está configurado como Manual)

Especifique la contraseña que se utilizará.


Variables dinámicas:

Las variables dinámicas mencionadas a continuación se recuperan de los datos proporcionados al registrar el dispositivo.

% username%: obtendrá el nombre de usuario apropiado, asignado al dispositivo

Vea también : Asociación de perfiles a grupos , Asociación de perfiles a dispositivos , Gestión de aplicaciones , Distribuir aplicaciones a dispositivos , Distribuir aplicaciones a grupos
Copyright © 2021, Zoho Corp . Todos los derechos reservados.
ManageEngine