Implementatie van iPhone en iPad Beveiliging
iOS, het besturingssysteem dat de motor vormt van iPhone en iPad, bevat uitgebreide beveiligingsvoorzieningen. Hierdoor kunnen iPhone en iPad op een veilige manier verbinding maken met bedrijfsvoorzieningen en zijn de gegevens op het apparaat zelf goed afgeschermd. iOS biedt krachtige versleuteling voor gegevensoverdracht, beproefde methoden voor identiteitscontrole voor toegang tot bedrijfsvoorzieningen en hardwareversleuteling voor alle op het apparaat opgeslagen gegevens. Bescherming is ook verzekerd door het gebruik van beleidsregels voor toegangscodes die draadloos kunnen worden geleverd en ingesteld. En mocht het apparaat in verkeerde handen vallen, dan kunnen gebruikers en IT-beheerders alle gegevens op het apparaat op afstand wissen. De beveiliging van iOS voor zakelijk gebruik valt in de volgende componenten uiteen: • Apparaatbeveiliging: methoden om het apparaat te beveiligen tegen ongeoorloofd gebruik • Gegevensbeveiliging: beveiliging van de gegevens, ook wanneer het apparaat kwijt is of gestolen wordt • Netwerkbeveiliging: netwerkprotocollen en versleuteling voor gegevensoverdracht • Beveiliging van apps: het veilige iOS-platform Deze componenten zijn met elkaar verweven en bieden zo een veilig mobielcomputerplatform.
Apparaatbeveiliging Apparaatbeveiliging • Sterke toegangscodes • Verlopen toegangscodes • Geschiedenis van hergebruik toegangscodes • Maximum aantal mislukte pogingen • Draadloos toegangscodes afdwingen • Progressieve time-out van toegangscodes
Een streng toegangsbeleid voor iPhone en iPad is essentieel voor het beveiligen van bedrijfsgegevens. Een apparaattoegangscode is de eerste stap in het voorkomen van toegang door onbevoegden. Deze toegangscodes kunnen draadloos worden geconfigureerd en ingesteld. Verder genereren iOS-apparaten op basis van de door de gebruiker ingestelde toegangscode een krachtige coderingssleutel om e-mails en gevoelige appgegevens op het apparaat nog beter te beveiligen. Daarnaast biedt iOS veilige methoden om het apparaat in een bedrijfsomgeving te configureren, waarbij bepaalde instellingen, beleidsinstellingen en beperkingen moeten worden opgegeven. Deze methoden bieden flexibele opties om een standaardbeveiligingsniveau in te stellen voor bevoegde gebruikers. Toegangscodebeleid Een apparaattoegangscode voorkomt dat onbevoegde gebruikers toegang hebben tot (de gegevens op) een apparaat. iOS biedt een uitgebreide reeks vereisten voor toegangscodes om aan het gewenste beveiligingsniveau te voldoen. Denk aan timeoutperiodes, toegangscodesterkte en aan de frequentie waarmee een toegangscode moet worden gewijzigd.
2
De volgende toegangscodebeleidsinstellingen worden ondersteund: • Toegangscode op apparaat vereist • Eenvoudige waarde toestaan • Alfanumerieke waarde vereist • Minimumlengte toegangscode • Minimum aantal complexe tekens • Maximumgebruiksduur toegangscode • Automatisch slot • Geschiedenis van toegangscodes • Geldigheid van toegangscodes bij vergrendeling • Maximum aantal mislukte pogingen
Ondersteunde configureerbare beleidsinstellingen en beperkingen: Functionaliteit van apparaat • Apps installeren toestaan • Gebruik van Siri toestaan • Gebruik van camera toestaan • Gebruik van FaceTime toestaan • Schermafbeeldingen maken toestaan • Automatisch synchroniseren tijdens roaming toestaan • Voicedialing toestaan • Aankopen vanuit apps toestaan • Store-wachtwoord verplicht voor alle aankopen • Multiplayergames toestaan • Vrienden toevoegen in Game Center toestaan Apps • Gebruik van YouTube toestaan • Gebruik van iTunes Store toestaan • Gebruik van Safari toestaan • Beveiligingsvoorkeuren in Safari instellen iCloud • Het maken van reservekopieën toestaan • Synchronisatie van documenten en sleutelwaarden toestaan • Fotostream toestaan Beveiliging en privacy • Toestaan dat diagnostische gegevens naar Apple worden verstuurd • Toestaan dat gebruikers niet-vertrouwde certificaten accepteren • Versleutelde reservekopieën afdwingen Beoordelingen • Expliciete muziek en podcasts toestaan • Regio voor classificaties instellen • Toegestane classificaties instellen
Afdwingen beleid De hiervoor beschreven beleidsinstellingen kunnen op verschillende manieren op iPhone en iPad worden ingesteld. Beleid kan worden gedistribueerd als onderdeel van een configuratieprofiel dat gebruikers zelf moeten installeren. Een profiel kan zo worden gedefinieerd dat het alleen met een beheerderswachtwoord kan worden verwijderd of dat het aan het apparaat is vergrendeld en alleen kan worden verwijderd door het apparaat in zijn geheel te wissen. Daarnaast kunnen toegangscodeinstellingen via MDM (Mobile Device Management, beheer van mobiele apparatuur) op afstand worden geconfigureerd zodat de beleidsinstellingen direct naar het apparaat kunnen worden gepusht. Op deze manier kunnen beleidsinstellingen zonder tussenkomst van de gebruiker worden afgedwongen en bijgewerkt. Als het apparaat daarentegen is geconfigureerd voor gebruik van een Microsoft Exchange-account, worden de Exchange ActiveSync-beleidsinstellingen draadloos naar het apparaat verstuurd. Welke beleidsinstellingen beschikbaar zijn, is afhankelijk van de versie van Exchange waarmee wordt gewerkt (2003, 2007 of 2010). Raadpleeg het document 'Exchange Active Sync' voor iOS-apparaten om te zien welke beleidsinstellingen voor uw configuratie worden ondersteund. Beveiligde apparaatconfiguratie Configuratieprofielen zijn XML-bestanden met beveiligings- en beperkingsinstellingen voor het apparaat, VPN-configuratiegegevens, Wi-Fi-instellingen, e-mail- en agendaaccounts en legitimaties voor identiteitscontroles waarmee wordt toegestaan dat iPhone en iPad in uw bedrijfsomgeving kunnen worden gebruikt. Door instellingen voor toegangscodes en apparaatinstellingen in een configuratieprofiel vast te leggen zorgt u ervoor dat apparaten binnen uw bedrijf correct zijn geconfigureerd en voldoen aan de beveiligingsstandaarden van uw bedrijf. En aangezien configuratieprofielen zowel gecodeerd als versleuteld kunnen zijn, kunnen de instellingen niet worden verwijderd, gewijzigd of met andere personen worden gedeeld. Configuratieprofielen kunnen zowel worden ondertekend als versleuteld. Met ondertekening van een configuratieprofiel wordt gegarandeerd dat de instellingen ervan op geen enkele manier gewijzigd kunnen worden. Met versleuteling van een configuratieprofiel wordt de inhoud van het profiel beschermd en kan het profiel alleen worden geïnstalleerd op het apparaat waarvoor het is aangemaakt. Configuratieprofielen worden versleuteld via CMS (Cryptographic Message Syntax, RFC 3852) en ondersteunen 3DES en AES 128. De eerste keer dat u een versleuteld configuratieprofiel distribueert, kunt u het installeren via USB met behulp van het configuratieprogramma of draadloos via OTA-aanmelding. Daarna kunt u versleutelde configuratieprofielen distribueren als e-mailbijlage, op een website plaatsen waartoe gebruikers toegang hebben of via MDM naar het apparaat pushen.
3
Apparaatbeperkingen Met apparaatbeperkingen bepaalt u tot welke apparaatvoorzieningen gebruikers toegang hebben. Meestal gaat het hierbij om apps waarvoor een internetverbinding nodig is, zoals Safari, YouTube of de iTunes Music Store. Daarnaast kunt u via beperkingen de functionaliteit bepalen, zoals het installeren van apps of het gebruik van de camera. Met behulp van beperkingen kunt u het apparaat naar wens configureren, terwijl gebruikers het apparaat kunnen gebruiken op manieren die overeenstemmen met de bedrijfsvoering. Beperkingen kunnen handmatig op elk apparaat worden geconfigureerd, via een configuratieprofiel worden ingesteld of op afstand via MDM worden ingesteld. Beperkingen als toegangscodebeleid en beperkingen voor het gebruik van de camera en surfen op het web kunnen bovendien draadloos worden ingesteld via Microsoft Exchange Server 2007 en 2010. Naast het instellen van beperkingen en beleidsinstellingen op het apparaat kan het computerprogramma iTunes door de IT-beheerder worden geconfigureerd en beheerd. Op deze manier kunt u toegang tot expliciet materiaal uitschakelen, bepalen tot welke netwerkvoorzieningen gebruikers vanuit iTunes toegang hebben en instellen of nieuwe software-updates door gebruikers kunnen worden geïnstalleerd. Raadpleeg voor meer informatie het document 'iTunes implementeren' voor iOS-apparaten.
Gegevensbeveiliging Gegevensbeveiliging • Hardwareversleuteling • Gegevensbescherming • Wissen op afstand • Lokaal wissen • Versleutelde configuratieprofielen • Versleutelde iTunes-back-ups
Het beveiligen van gegevens op iPhone en iPad is met name belangrijk als het gaat om gevoelige bedrijfs- of klantgegevens. Naast versleuteling van gegevens tijdens de verzending bieden iPhone en iPad hardwareversleuteling voor alle gegevens op het apparaat en extra versleuteling van e-mails en appgegevens voor betere gegevensbescherming. Als een apparaat wordt gestolen of kwijt is, is het raadzaam dit te deactiveren en te wissen. Daarnaast is het verstandig een beleidsregel in te stellen die het apparaat na een aantal verkeerd ingevoerde toegangscodes wist, een belangrijk afschrikmiddel tegen pogingen van onbevoegde gebruikers om toegang te krijgen tot het apparaat. Versleuteling iPhone en iPad bieden hardwareversleuteling. Hierbij wordt gebruikgemaakt van 256bits AES-versleuteling om alle gegevens op het apparaat te beveiligen. Versleuteling is altijd ingeschakeld en kan door gebruikers niet worden uitgeschakeld. Daarnaast kunnen ook back-upgegevens in iTunes op de computer van de gebruiker worden versleuteld. Deze instelling kan door de gebruiker zelf worden ingeschakeld of door een apparaatbeperking in een configuratieprofiel worden opgelegd. iOS ondersteunt S/MIME in e-mails, waardoor versleutelde e-mails kunnen worden gelezen en verstuurd. Bovendien kan een beperking worden ingesteld die ervoor zorgt dat e-mails niet van de ene naar de andere account kunnen worden verplaatst en dat berichten die via de ene account zijn ontvangen, niet kunnen worden doorgestuurd naar een andere account. Gegevensbescherming Dankzij de mogelijkheden voor hardwareversleuteling kunnen e-mails en bijlagen die op iPhone en iPad worden bewaard nog beter worden beveiligd door middel van de gegevensbeveiligingsvoorzieningen in iOS. De unieke toegangscode van de gebruiker plus de hardwareversleuteling op iPhone en iPad vormen samen een krachtige
4
coderingssleutel ten behoeve van de gegevensbeveiliging. Op deze manier wordt voorkomen dat de gegevens op het apparaat toegankelijk zijn wanneer het apparaat is vergrendeld, zodat gevoelige gegevens zelfs in onveilige situaties afgeschermd zijn. Om gegevensbeveiliging in te schakelen, moet u een toegangscode op het apparaat instellen. Hoe sterker de toegangscode, hoe beter de gegevens worden beveiligd. Daarom is het verstandig in de beleidsinstellingen voor de toegangscode op te geven dat toegangscodes uit meer dan vier cijfers moeten bestaan. Gebruikers kunnen in het scherm voor toegangscode-instellingen controleren of gegevensbescherming op hun apparaat is ingeschakeld. Dit kan ook via MDM. Deze API's voor gegevensbeveiliging zijn ook beschikbaar voor ontwikkelaars en kunnen worden gebruikt om interne of commerciële appgegevens van bedrijven te beveiligen. Progressieve time-out van toegangscodes Het is ook mogelijk in de configuratie te definiëren dat iPhone en iPad automatisch worden gewist nadat er een bepaald aantal keren een onjuiste toegangscode is ingevoerd. Als een gebruiker herhaalde malen een verkeerde toegangscode opgeeft, wordt iOS met steeds langere intervallen uitgeschakeld. Gebeurt dat te vaak, dan worden alle gegevens en instellingen op het apparaat gewist.
Wissen op afstand iOS biedt de mogelijkheid om gegevens op afstand te wissen. Als een apparaat wordt gestolen of kwijt is, kan de beheerder of eigenaar van het apparaat alle gegevens op afstand wissen en het apparaat deactiveren. Als het apparaat is geconfigureerd met een Exchange-account, kan de beheerder via de Exchange Management Console (Exchange Server 2007) of de Exchange ActiveSync Mobile Administration Web-tool (Exchange Server 2003 of 2007) op afstand een wiscommando geven. Gebruikers die met Exchange Server 2007 werken, kunnen dit commando ook direct via Outlook Web Access geven. Dit commando kan ook via MDM worden gegeven, zelfs wanneer Exchange-bedrijfsvoorzieningen niet worden gebruikt. Lokaal wissen Het is ook mogelijk in de configuratie van apparaten te definiëren dat de gegevens automatisch lokaal worden gewist nadat er een bepaald aantal keer een onjuiste toegangscode is ingevoerd. Zo wordt het buitenstaanders direct moeilijk gemaakt om toegang te krijgen. Wanneer een toegangscode is ingesteld, kunnen gebruikers direct vanuit de instellingen op het apparaat gegevens lokaal wissen. Standaard worden gegevens lokaal gewist nadat tien keer een onjuiste toegangscode is ingevoerd. Evenals andere instellingen voor toegangscodebeleid kan het maximum aantal pogingen worden opgegeven via een configuratieprofiel of een MDM-server, of via Exchange ActiveSync-beleid draadloos worden afgedwongen. iCloud iCloud bewaart muziek, foto's, apps, agenda's, documenten en andere content en pusht dit materiaal draadloos naar alle apparaten van een gebruiker. iCloud maakt bovendien dagelijks via Wi-Fi een reservekopie van onder andere de apparaatinstellingen, appgegevens en sms- en mms-berichten. iCloud beveiligt het materiaal door het te versleutelen tijdens verzending via het internet, het in een versleutelde structuur te bewaren en gebruik te maken van beveiligingstokens voor identiteitscontrole. Bovendien kunnen iCloud-functies als Fotostream, de synchronisatie van documenten en het maken van reservekopieën met behulp van een configuratieprofiel worden uitgeschakeld. Raadpleeg voor meer informatie over de beveiliging in iCloud en het privacybeleid het volgende artikel: http://support.apple.com/kb/HT4865?viewlocale=nl_NL
5
Netwerkbeveiliging Gebruikers die veel onderweg zijn, moeten overal ter wereld toegang hebben tot het gegevensnetwerk van hun bedrijf. Hierbij is het belangrijk dat ze de juiste toegangsrechten hebben en dat hun gegevens tijdens de overdracht worden beveiligd. iOS biedt beproefde technologieën om deze beveiligingstaken uit te voeren voor verbindingen via zowel Wi-Fi- als mobieletelefoonnetwerken. Net als de bestaande infrastructuur worden all FaceTime-sessies en iMessageconversaties van begin tot eind versleuteld. iOS maakt voor elke gebruiker een unieke ID aan en zorgt ervoor dat de communicatie op de juiste manier wordt versleuteld, verstuurd en tot stand gebracht.
Netwerkbeveiliging • Ondersteuning voor Cisco IPSec, L2TP, PPTP VPN • SSL VPN via App Store-apps • SSL/TLS met X.509-certificaten • WPA/WPA2 op bedrijfsniveau met 802.1X • Identiteitscontrole via certificaten • RSA SecurID, CryptoCard VPN-protocollen • Cisco IPSec • L2TP/IPSec • PPTP • SSL VPN Methoden voor identiteitscontrole • Wachtwoord (MSCHAPv2) • RSA SecurID • CryptoCard • Digitale X.509-certificaten • Gedeeld geheim 802.1X-identiteitsprotocollen • EAP-TLS • EAP-TTLS • EAP-FAST • EAP-SIM • PEAP versie 0, versie 1 • LEAP Ondersteunde certificaatstructuren iOS ondersteunt X.509-certificaten met RSAsleutels. De bestandsextensies .cer, .crt en .der worden herkend.
VPN In veel bedrijfsomgevingen wordt een vorm van VPN (Virtual Private Network) gebruikt. Deze beveiligde netwerkvoorzieningen zijn al geïmplementeerd en vragen doorgaans om minimale instellingen en configuratie om met iPhone en iPad te kunnen werken. iOS kan direct worden ingezet bij een brede verscheidenheid aan veelgebruikte VPNtechnologieën via ondersteuning voor Cisco IPSec, L2TP en PPTP. iOS ondersteunt SSL VPN via programma's van Juniper, Cisco en F5 Networks. Dit verzekert het hoogste niveau van versleuteling op IP-basis voor het verzenden van gevoelige gegevens. Naast beveiligde toegang tot bestaande VPN-omgevingen biedt iOS beproefde methoden voor identiteitscontrole. Doordat de toegangscontrole wordt uitgevoerd met behulp van standaard digitale X.509-certificaten, hebben gebruikers snel toegang tot bedrijfsvoorzieningen. Deze methode vormt dan ook een uitstekend alternatief voor het gebruik van hardwaretokens. Als u met identiteitscontrole op basis van certificaten werkt, kunt u bovendien gebruikmaken van VPN On Demand voor een transparant identiteitscontroleproces en goede, gevalideerde toegang tot netwerkvoorzieningen. Voor omgevingen die een twee-factorentoken vereisen, werkt iOS probleemloos samen met RSA SecurID en CryptoCard. iOS ondersteunt netwerkproxyconfiguratie en split IP-tunneling waardoor het verkeer naar publieke of private netwerkdomeinen wordt doorgestuurd volgens de specifieke beleidsinstellingen van uw bedrijf. SSL/TLS iOS biedt ondersteuning voor SSL versie 3 en TLS versie 1.0, 1.1 en 1.2 (Transport Layer Security), de nieuwste beveiligingsstandaard voor het internet. Deze beveiligingsmechanismen worden automatisch door Safari, Agenda, Mail en andere internetapps gestart waardoor een versleuteld communicatiekanaal ontstaat tussen iOS en bedrijfsvoorzieningen. WPA/WPA2 iOS ondersteunt WPA2 op bedrijfsniveau om de identiteitscontrole uit te voeren voor toegang tot het draadloze bedrijfsnetwerk. WPA2 op bedrijfsniveau maakt gebruik van 128-bits AES-versleuteling en biedt gebruikers de absolute zekerheid dat hun gegevens beschermd blijven tijdens het gebruik van de Wi-Fi-netwerkverbinding. En dankzij ondersteuning voor 802.1X-identiteitscontrole kunnen iPhone en iPad in uiteenlopende RADIUS-serveromgevingen worden geïntegreerd.
6
Beveiliging van apps Beveiliging van apps • Runtimebeveiliging • Verplichte codeondertekening • Sleutelhangervoorzieningen • CommonCrypto-API's • Beveiliging van appgegevens
In iOS staat veiligheid centraal. iOS bevat sandboxing voor runtimebescherming van apps. Bovendien moeten apps worden ondertekend om te waarborgen dat er niet mee kan worden geknoeid. Daarnaast heeft iOS een veilig framework om verificatiegegevens voor apps en netwerken op te slaan in een versleutelde sleutelhanger. Voor ontwikkelaars biedt iOS een gangbare coderingsarchitectuur die gebruikt kan worden om de opslag van appgegevens te versleutelen. Runtimebeveiliging De apps op een apparaat worden in een sandbox geplaatst, zodat ze geen toegang hebben tot gegevens van andere apps. Bovendien worden systeembestanden, hulpbronnen en de kernel afgeschermd van de ruimte voor apps. Een app kan alleen toegang krijgen tot de gegevens van een andere app via de API's en voorzieningen van iOS. Ten slotte is het genereren van code ook beveiligd. Verplichte codeondertekening Alle iOS-apps moeten ondertekend zijn. Alle apps die bij het apparaat worden geleverd, zijn door Apple ondertekend. Apps van andere fabrikanten zijn ondertekend door de ontwikkelaar met een door Apple afgegeven certificaat. Dit garandeert dat er niet mee geknoeid is en dat de app niet is gewijzigd. Bovendien worden er runtimecontroles uitgevoerd zodat u er zeker van kunt zijn dat een app nog steeds vertrouwd is sinds u deze voor de laatste keer hebt gebruikt. Het gebruik van eigen of interne apps kan worden beheerd met behulp van een voorzieningenprofiel. Hierbij moet het voorzieningenprofiel geïnstalleerd zijn voordat de app kan worden uitgevoerd. Voorzieningenprofielen kunnen draadloos via MDM worden geïnstalleerd of ingetrokken. Ook kunnen beheerders het gebruik van een app op specifieke apparaten beperken. Beveiligd framework voor identiteitscontrole iOS biedt een veilige, versleutelde sleutelhanger voor de opslag van digitale identiteitsgegevens, gebruikersnamen en wachtwoorden. De sleutelhangergegevens zijn gepartitioneerd zodat de verificatiegegevens die door apps van derden zijn opgeslagen niet toegankelijk zijn voor apps met een andere identiteit. Hierdoor worden de legitimaties voor identiteitscontroles op iPhone en iPad voor een aantal apps en voorzieningen binnen het bedrijf beveiligd. Veelgebruikte coderingsarchitectuur Ontwikkelaars van apps hebben toegang tot versleutelde API's die zij kunnen gebruiken om hun appgegevens nog beter te beveiligen. Gegevens kunnen symmetrisch worden versleuteld met behulp van beproefde methoden als AES, RC4 en 3DES. Bovendien bieden iPhone en iPad hardwareversnelling voor AES-versleuteling en SHA1-hashing, wat de prestaties van de app ten goede komt. Beveiliging van appgegevens Apps kunnen gebruikmaken van de ingebouwde hardwareversleuteling op iPhone en iPad om gevoelige appgegevens nog beter te beveiligen. Ontwikkelaars kunnen bepaalde bestanden aanwijzen voor gegevensbeveiliging, waarbij de inhoud van zo'n bestand cryptografisch ontoegankelijk wordt gemaakt voor zowel de app als potentiële indringers wanneer het apparaat is vergrendeld.
7
Beheerde apps Een MDM-server kan apps van andere fabrikanten uit de App Store en interne apps van bedrijven beheren. Als een app wordt beheerd, kan de server vaststellen of de app en de bijbehorende gegevens door de MDM-server kunnen worden verwijderd van het apparaat. Bovendien kan de server ervoor zorgen dat er geen reservekopie van beheerde appgegevens in iTunes of iCloud wordt gemaakt. Op deze manier kan de IT-beheerder apps die mogelijk gevoelige bedrijfsgegevens bevatten beter beheren dan apps die direct door de gebruiker worden gedownload. Om een beheerde app te installeren, stuurt de MDM-server een installatieverzoek naar het apparaat. Voor de installatie van beheerde apps moet de gebruiker eerst toestemming geven. Ga voor meer informatie over beheerde apps en MDM naar www.apple.com/business/mdm.
Revolutionair en optimaal beveiligd iPhone en iPad bieden versleuteling voor gegevens tijdens de verzending, op het apparaat zelf en tijdens het back-upproces in iCloud of iTunes. Wanneer een gebruiker zijn zakelijke e-mail bekijkt, voor privédoeleinden een website bezoekt of zich aanmeldt op het bedrijfsnetwerk, biedt iOS de zekerheid dat alleen bevoegde gebruikers toegang hebben tot gevoelige bedrijfsgegevens. En dankzij de ondersteuning voor netwerkfunctionaliteit op ondernemingsniveau en uitgebreide ondersteuning om verlies van gegevens te voorkomen kunt u iOS-apparaten met een gerust hart in uw bedrijfsomgeving implementeren, want zowel de apparaten als de gegevens die erop staan worden optimaal beveiligd.
© 2011 Apple Inc. Alle rechten voorbehouden. Apple, het Apple logo, FaceTime, iPad, iPhone, iTunes en Safari zijn handelsmerken van Apple Inc., die zijn gedeponeerd in de Verenigde Staten en andere landen. iCloud en iTunes Store zijn dienstmerken van Apple Inc., die zijn gedeponeerd in de Verenigde Staten en andere landen. App Store is een dienstmerk van Apple Inc. Alle andere product- en bedrijfsnamen die worden genoemd, kunnen handelsmerken zijn van hun respectieve eigenaars. Productspecificaties kunnen zonder voorafgaande kennisgeving worden gewijzigd. Oktober 2011 L422500B-NL