Privire de ansamblu VPN pentru implementarea dispozitivelor Apple
Accesul securizat la rețelele corporative private este disponibil în iOS, iPadOS, macOS, tvOS, watchOS și visionOS utilizând protocoale consacrate de rețele virtuale private (VPN), standard în sectorul de activitate.
Protocoale compatibile
iOS, iPadOS, macOS, tvOS, watchOS și visionOS sunt compatibile cu următoarele protocoale și metode de autentificare:
IKEv2: Asistență pentru IPv4 și IPv6 și următoarele:
Metode de autentificare: Secret partajat, certificate, EAP-TLS și EAP-MSCHAPv2
Criptografie Suite B: Certificate ECDSA, criptare ESP cu GCM și Grupuri ECP pentru Grupul Diffie-Hellman
Funcții suplimentare: MOBIKE, fragmentare IKE, redirectare server, tunel divizat
iOS, iPadOS, macOS și visionOS acceptă și următoarele protocoale și metode de autentificare:
L2TP prin IPsec: Autentificarea utilizatorului cu parolă MS-CHAP v2, token cu doi factori, certificat, autentificare la nivel de mașină cu secret partajat sau certificat
macOS poate utiliza, de asemenea, autentificarea Kerberos la nivel de mașină, cu secret partajat sau certificat cu L2TP prin IPsec.
IPsec: Autentificarea utilizatorului cu parolă, token cu doi factori și autentificare la nivel de mașină cu secret partajat sau certificate
Dacă organizația dvs. acceptă protocoalele respective, nu este necesară o configurație de rețea sau aplicații terțe suplimentare pentru a conecta dispozitivele Apple la rețeaua dvs. virtuală privată.
Compatibilitatea include tehnologii precum IPv6, servere proxy și tunelizare divizată. Tunelizarea divizată oferă o interacțiune flexibilă cu VPN-ul pentru conectarea la rețelele unei organizații.
În plus, cadrul de lucru Network Extension le permite dezvoltatorilor terți să creeze o soluție VPN personalizată pentru iOS, iPadOS, macOS, tvOS și visionOS. O serie de furnizori de VPN au creat aplicații care ajută la configurarea dispozitivelor Apple pentru utilizarea cu soluțiile acestora. Pentru a configura un dispozitiv pentru o anumită soluție, instalați aplicația însoțitoare livrată de furnizor și, opțional, indicați un profil de configurare cu configurările necesare.
VPN la cerere
Pentru dispozitivele cu iOS, iPadOS, macOS, tvOS și visionOS, VPN-ul la cerere permite dispozitivelor Apple stabilirea automată a unei conexiuni, după cum este nevoie. Necesită o metodă de autentificare care nu implică interacțiunea utilizatorului (de exemplu, autentificarea pe bază pe certificat). VPN la cerere este configurat utilizându-se cheia OnDemandRules în cadrul unei sarcini VPN a unui profil de configurare. Regulile sunt aplicate în două etape:
Etapa de detectare a rețelei: Definește cerințele VPN aplicabile atunci când se schimbă conexiunea la rețea principală a dispozitivului.
Stadiul de evaluare a conexiunii: Definește cerințele VPN-ului pentru solicitările de conectare la numele de domenii, după cum este necesar.
Regulile pot fi utilizate pentru următoarele tipuri de operațiuni:
Recunoașteți atunci când un dispozitiv Apple este conectat la o rețea internă și nu este necesar VPN-ul
Recunoașteți atunci când o rețea Wi-Fi necunoscută este utilizată și necesită VPN
Lansați VPN-ul atunci când eșuează o solicitare DNS pentru un nume de domeniu specificat
VPN per aplicație
Pentru dispozitivele cu iOS, iPadOS, macOS, watchOS și visionOS 1.1, conexiunile VPN pot fi stabilite per aplicație, ceea ce asigură un control mai detaliat asupra datelor transmise prin VPN. Capacitatea de a segrega traficul la nivel de aplicație permite separarea datelor personale de cele ale organizației, conducând la o activitate de rețea securizată pentru aplicațiile de uz intern, protejând în același timp intimitatea activității pe dispozitivul personal.
VPN per aplicație permite fiecărei aplicații gestionate de o soluție de gestionare a dispozitivelor mobile (MDM) să comunice cu rețeaua privată utilizând un tunel securizat, împiedicând în același timp aplicațiile negestionate să utilizeze rețeaua privată. Aplicațiile gestionate pot fi configurate cu configurații VPN diferite, pentru a securiza și mai mult datele. De exemplu, o aplicație pentru oferte de preț ar putea utiliza un centru de date complet diferit de cel utilizat de către o aplicație de conturi debitoare.
După crearea unui VPN per aplicație pentru orice configurație VPN, trebuie să asociați conexiunea respectivă cu aplicațiile care o utilizează pentru a securiza traficul de rețea aferent aplicațiilor respective. Acest lucru se realizează cu sarcina de mapare VPN per aplicație (macOS) sau specificând configurația VPN în cadrul comenzii de instalare a aplicației (iOS, iPadOS, macOS, visionOS 1.1).
VPN per aplicație poate fi configurat să funcționeze cu clientul VPN IKEv2 integrat în iOS, iPadOS, watchOS și visionOS 1.1. Pentru informații despre compatibilitatea VPN-ului per aplicație cu soluțiile VPN personalizate, contactați furnizorii dvs. VPN.
Notă: pentru a utiliza VPN per aplicație în iOS, iPadOS, watchOS 10 și visionOS 1.1, o aplicație trebuie gestionată prin MDM.
VPN mereu activat
VPN-ul mereu activat disponibil pentru IKEv2 oferă organizației dvs. control complet asupra traficului de pe iOS și iPadOS tunelizând integral traficul IP înapoi către organizație. Organizația dvs. poate acum să monitorizeze și să filtreze traficul de la și către dispozitive, să securizeze datele din cadrul rețelei și să restricționeze accesul dispozitivelor la Internet.
Activarea VPN-ului mereu activat necesită supervizarea dispozitivului. După instalarea profilului VPN mereu activat pe un dispozitiv, opțiunea VPN mereu activat se activează automat, fără interacțiunea utilizatorului și rămâne activată (inclusiv între reporniri) până la dezinstalarea profilului VPN mereu activat.
Dacă VPN mereu activat este pornit pe dispozitiv, pornirea și oprirea tunelului VPN este legată de starea IP a interfeței. Atunci când interfața obține acces IP la rețea, aceasta încearcă să stabilească un tunel. Atunci când starea IP a interfeței se oprește, tunelul este dezactivat.
VPN-ul mereu activat acceptă, de asemenea, tunelurile aferente interfețelor. Pentru dispozitivele cu conexiuni celulare, există câte un tunel pentru fiecare interfață IP activă (un tunel pentru interfața celulară și un tunel pentru interfața Wi-Fi). Câtă vreme tunelele VPN sunt în funcțiune, întregul trafic IP este tunelizat. Traficul include întregul trafic dirijat prin IP și întregul trafic limitat prin IP (traficul aplicațiilor de la furnizorul principal, cum sunt FaceTime și Mesaje). Dacă tunelurile nu funcționează, întregul trafic IP este abandonat.
Întregul trafic trimis prin tunel de pe un dispozitiv ajunge la un server VPN. Puteți aplica, opțional, operațiuni de filtrare și monitorizare a traficului, înainte de a-l redirecționa către destinațiile sale din cadrul rețelei organizației dvs. sau către Internet. În mod similar, traficul către dispozitiv este direcționat către serverul VPN al organizației dvs., unde s-ar putea aplica procese de filtrare și monitorizare, înainte de a fi redirecționat către dispozitiv.
Notă: Asocierea Apple Watch-ului nu este compatibilă cu VPN mereu activat.
Proxy transparent
Proxy-urile transparente sunt un tip special de VPN de pe macOS și pot fi utilizate în diferite moduri pentru a monitoriza și transforma traficul de rețea. Cazurile de utilizare obișnuite sunt soluțiile de filtrare a conținutului și brokerii pentru accesarea serviciilor cloud. Ținând cont de varietatea de utilizări, este indicat să definiți ordinea în care proxy-urile respective văd și gestionează traficul. De exemplu, puteți dori să invocați un proxy de filtrare a traficului de rețea înainte de a invoca un proxy care criptează traficul. Pentru aceasta, definiți ordinea în sarcina VPN.