Guía de seguridad en macOS (Parte 3)

Llegamos al final de nuestra serie de artículos sobre la seguridad en macOS con una entrada sobre las conexiones de red, el control de dispositivos hardware y la política de privacidad que impera en Apple. Con esto hemos tratado todas las aristas que componen la seguridad y fortificación del sistema operativo de Mac.

Seguridad de la red
macOS usa (y provee las herramientas necesarias para que los desarrolladores lo implementen en sus aplicaciones) protocolos de red para autenticar, autorizar y cifrar comunicaciones. Para lograr esto, el sistema integra tecnologías validadas y los últimos estándares dentro de las conexiones Wi-Fi.

TLS
macOS soporta Transport Layer Security (TLS 1.0, TLS 1.1 y TLS 1.2) junto con DTLS. Además cuenta con soporte de cifrado AES-128 y AES-256 y tiene preferencia por suites de cifrado con perfect forward secrecy.
APIs de alto nivel como CFNetwork hace sencillo adoptar TLS en las aplicaciones mientras que las APIs a bajo nivel como SecureTransport aportan un control total de la conexión. Desde hace un tiempo, tanto CFNetwork como WebKit rechazan conexiones con SSLv3. 
Desde macOS High Sierra, conexiones TLS con certificados SHA-1 no son permitidas a no ser que sean certificados permitidos por el usuario. Certificados con claves RSA más pequeña que 2048 bits dejan de estar permitidas también.

App Transport Security
App Transport Security provee a las conexiones por defecto de una serie de requerimientos que cumplen con buenas practicas para fortificar las conexiones seguras al usar las APIs de NSURLConnection, CFURL o NSURLSession. Algunas de estas normas son:
  • Las suites de cifrados son limitadas a aquellas que proveen de forward secrecy, en concreto se encuentran ECDHE_ECDSA_AES y ECDH_RSA_AES en GCM o CBC.
  • Los servidores a los que se conectan deben soportar TLS 1.2 y forward secrecy, y los certificados deben ser validos y firmados usando SHA-256 o una clave RSA de mínimo 2048 bits o con curva elíptica de 256.
Por lo que las conexiones que no cumplan esos requerimientos fallarán, a no ser que la aplicación invalide expresamente el framework.

Figura 1: Aplicación  invalidando las restricciones de seguridad de App Transport Security


VPN
Servicios de red como las redes privadas virtuales (VPN) no requieren apenas configuración por parte del usuario en macOS. Los servidores soportados por el sistema operativo son los siguientes:
  • IKEv2/IPSec con autenticación por secreto compartido, por certificados RSA, por certificados ECDSA, por EAP-MSCHAPv2 o por EAP-TLS.
  • SSL VPN, a través de un cliente apropiado de la App Store.
  • Cisco IPSec con autenticación por contraseña, RSA SecurId o CRYPTOCard y autenticación por máquina a través de secreto compartido y certificados
  • L2TP/IPSec con autenticación de usuario mediante contraseña MS-CHAPv2, RSA SecurID o CRYPTOCard y autenticación por máquina a través de secreto compartido.
Además de estas soluciones VPN de terceros, macOS soporta las siguientes implementaciones:
  • VPN Bajo demanda para redes que usan autenticación basada en certificados.
  • VPN por aplicación, para facilitar las conexiones VPN de una forma mucho más granular.

WiFi
macOS soporta los estándares de la industria en protocolos Wi-Fi, incluyendo WPA2 Enterprise, para garantizar acceso mediante autenticación a redes corporativas. Por otro lado, con el soporte de 802.1X, los Macs pueden ser integrados en un amplio rango de entornos de autenticación. De entre estos métodos se encuentran EAP-TLS, EAP-TTLS, EAP-FAST, EAP-AKA, PEAPv0, PEAPv1 y LEAP.
En el momento de configuración de un nuevo Mac, el asistente de configuración de macOS soporta autenticación de 802.1X con credenciales de usuario y contraseña usando TTLS o PEAP.

Firewall
macOS cuenta con un Firewall integrado para proteger el Mac de accesos malintencionados desde la red y de ataques de denegación de servicio. Este firewall soporta las siguientes configuraciones:
  • Bloqueo de las conexiones entrantes, independientemente de la aplicación
  • Permitir automáticamente al software interno recibir conexiones entrantes.
  • Permitir automaticamente al software descargado y firmado conexiones entrantes.
  • Añadir o revocar el acceso basado en aplicaciones de usuario especificas.
  • Evitar que el ordenador responda a sondeos ICMP y peticiones de escaneo de puertos.

Single Sign-On
macOS permite la autenticación en entornos de empresa a través de Kerberos. Las aplicaciones pueden usar Kerberos para autenticar usuarios a servicios a los que estén autorizadas a acceder. Kerberos también puede ser usado para una gran cantidad de actividades del sistema, como asegurar las sesiones de Safari, filtro de redes o autenticación a aplicaciones de terceros.
Kerberos soporta los siguientes cifrados:
  • AES128-CTS-HMAC-SHA1-96
  • AES256-CTS-HMAC-SHA1-96
  • DES3-CBC-SHA1
  • ACRFOUR-HMAC-MD5

Seguridad en AirDrop
Los Macs que soportan AirDrop usan Bluetooth Low Energy y una tecnología propietaria de Apple para comunicación Wi-Fi P2P para enviar información a dispositivos cercados. El radio Wi-Fi es usado para la comunicación directa entre dispositivos sin necesidad de uso de una conexión a internet o un punto de acceso Wi-Fi. Esta conexión está cifrada con TLS.

Control de dispositivos

Refuerzo de Configuración
Un perfil de configuración es un archivo XML que permite a un administrador/desarrollador distribuir información de configuración a ordenadores Mac. Si un usuario elimina el perfil de configuración, todos los ajustes definidos en el perfil serán eliminados.
Algunos de los ajustes que un perfil de configuración puede especificar son:
  • Políticas de contraseñas.
  • Restricción en características del dispositivo (por ejemplo deshabilitar la cámara).
  • Ajustes de Wi-Fi o VPN.
  • Ajustes en los servidores Mail o Exchange.
  • Ajustes en el servicio de directorios LDAP.
  • Configuración del Firewall
  • Credenciales y claves
  • Actualizaciones de software.

MDM
El soporte de macOS de MDM permite que empresas configuren y organicen multiples dispositivos Mac, iPhone o iPad de forma segura dentro de una organización. Las funcionalidades de MDM están construidas sobre tecnologías de macOS, como por ejemplo perfiles de configuración, notificaciones push…

Protección por Contraseña
En ordenadores Mac con Touch ID, la contraseña requerida tiene que tener mínimo ocho caracteres. Y siempre se recomienda contraseñas largas y complejas, ya que son más difíciles de adivinar o atacar.

En el entorno empresarial, administradores IT pueden configurar la política de contraseñas usando MDM o requiriendo a usuarios que instalen perfiles de configuración.

Borrado y bloqueo a distancia
El borrado remoto es posible en Macs que tengan FileVault activo. Cuando este comando se ejecuta a través de MDM o iCloud, el ordenador envía un ack y realiza el borrado. Con un bloqueo a distancia, MDM necesita una contraseña de seis dígitos en el Mac, lo que permite que cualquier usuario quede bloqueado hasta que esta contraseña no sea introducida

Privacidad

Apple tiene una política muy estricta con respecto a la privacidad, marcando una serie de estándares para asegurar y fortalecer la privacidad del usuario siempre que se pueda. Algunas de las medidas que toma para ello son usar el procesamiento en el equipo siempre posible, limitar la recolección de datos de uso e información del dispositivo, disponer de herramientas para facilitar la transparencia y el control de la información generada por el usuario y construir todo el desarrollo sobre una base sólida de seguridad.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.