Visión general de la VPN para la implantación de dispositivos Apple
iOS, iPadOS y macOS ofrecen acceso seguro a redes corporativas privadas mediante protocolos de red privada virtual (VPN) estándar.
Protocolos compatibles
Los sistemas operativos iOS, iPadOS y macOS son compatibles con los protocolos y métodos de autenticación siguientes:
IKEv2: Compatibilidad con IPv4 y IPv6, así como con:
Métodos de autenticación: Secreto compartido, certificados, EAP-TLS y EAP-MSCHAPv2.
Criptografía Suite B: Certificados ECDSA, encriptación ESP con grupos GCM y ECP para el grupo Diffie-Hellman.
Funciones adicionales: MOBIKE, fragmentación IKE, redirección de servidor, túnel dividido.
L2TP sobre IPsec: Autenticación del usuario por contraseña MS-CHAP 2, identificador de doble factor, certificado y autenticación por máquina mediante secreto compartido o certificado.
macOS también puede utilizar la autenticación por máquina de Kerberos por certificado o secreto compartido con L2TP sobre IPsec.
VPN SSL: Autenticación del usuario por contraseña, identificador de doble factor y certificados mediante una app del proveedor.
Cisco IPsec: Autenticación del usuario por contraseña, identificador de doble factor y autenticación por máquina mediante secreto compartido y certificados.
Si tu empresa admite IKEv, L2TP sobre IPsec o Cisco iPsec, no es necesario ningún tipo de configuración adicional ni apps de terceros para conectar dispositivos Apple a la red privada virtual.
iOS, iPadOS y macOS también admiten tecnologías como IPv6, servidores proxy y túneles divididos. Los túneles divididos permiten ofrecer una experiencia VPN flexible al conectar con la red de una organización.
VPN por petición
Con iOS, iPadOS y macOS, los dispositivos Apple pueden establecer una conexión automáticamente en función de sus necesidades con la función VPN por petición. Requiere un método de autenticación que no necesite la interacción del usuario (por ejemplo, la autenticación mediante certificado). Se configura usando la clave OnDemandRules en una carga útil de VPN de un perfil de configuración. Las reglas se aplican en dos fases:
Fase de detección de red: Define requisitos de la VPN que se aplican cuando cambia la conexión de red principal del dispositivo.
Fase de evaluación de conexión: Define requisitos de VPN para solicitudes de conexión a nombres de dominio cuando es necesario.
Se pueden utilizar reglas para realizar operaciones como las siguientes:
Identificar cuándo está conectado un dispositivo Apple a una red interna y es innecesaria la conexión VPN.
Identificar cuándo se está usando una red Wi‑Fi desconocida y se necesita una conexión VPN para la actividad de toda la red.
Requerir una conexión VPN cuando falla la solicitud DNS de un nombre de dominio específico.
VPN por app
Con iOS, iPadOS y macOS se pueden establecer conexiones VPN por cada app, lo que permite tener un control más pormenorizado de qué datos viajan por la VPN. Esta capacidad de segregar el tráfico de las apps permite separar los datos personales de los datos que pertenecen a la empresa y, como resultado, la función VPN individual por app proporciona conexión de red segura para apps de uso interno, al tiempo que preserva la privacidad de la actividad de los dispositivos personales.
La VPN individual por app permite que cada app controlada mediante una solución de gestión de dispositivos móviles (MDM) se comunique con la red privada a través un túnel seguro, cosa que no pueden hacer las apps no gestionadas. Las Apps gestionadas se pueden configurar con distintas conexiones VPN para reforzar la protección de los datos. Por ejemplo, una app de elaboración de presupuestos de ventas podría utilizar un centro de datos completamente distinto del que usa una app de facturación y gestión de pagos.
Tras activar la VPN individual por app para cualquier conexión VPN, es necesario asociar esa conexión VPN con las apps que la utilizarán para garantizar el tráfico de red para dichas apps. Esto se realiza mediante la carga útil de asignación de VPN por app (macOS) o especificando la conexión VPN en el comando de instalación de la app (iOS y iPadOS).
La VPN individual por app puede configurarse para que funcione con el cliente VPN integrado en iOS y iPadOS, que admite clientes VPN IKEv2.
El cliente IPsec admite IKEv2. Para obtener información acerca de la VPN individual por app, ponte en contacto con los proveedores de VPN o SSL.
Nota: Para usar la función VPN individual por app en iOS y iPadOS, la app tiene que estar gestionada con MDM y debe usar las API de conexión de red estándar.
VPN siempre activada
La función VPN siempre activada ofrece a tu organización un control total del tráfico de iOS y iPadOS enviando todo el tráfico IP de vuelta a la organización a través de un túnel. El protocolo de túnel por omisión, IKEv2, protege la transmisión del tráfico con la encriptación de los datos. Ahora, tu organización puede supervisar y filtrar tanto el tráfico que llega a los dispositivos como el que sale de ellos, proteger los datos que hay en la red y restringir el acceso de los dispositivos a internet.
La activación de la VPN siempre activada requiere la supervisión de los dispositivos. Después de instalar en un dispositivo el perfil de VPN siempre activada, la función VPN siempre activada se activa automáticamente sin que el usuario tenga que intervenir y permanece activada (incluso cuando se reinician los dispositivos) hasta que se desinstala el perfil de VPN siempre activada.
Cuando la VPN siempre activada está habilitada en el dispositivo, la activación e interrupción del túnel VPN se vincula al estado de la IP de la interfaz. Cuando la interfaz tiene acceso a la red IP, intenta establecer el túnel. Cuando la IP de la interfaz pasa a estar desactivada, el túnel se interrumpe.
La VPN siempre activada también admite túneles por cada interfaz. En el caso de los dispositivos con conexiones de datos móviles, hay un túnel por cada interfaz de IP activa (un túnel para la interfaz de la red móvil y un túnel para la interfaz de la red Wi-Fi). Mientras los túneles VPN estén activos, todo el tráfico IP pasará por ellos. Esto incluye el tráfico IP enrutado y el tráfico IP dirigido (el tráfico de apps de Apple como FaceTime y Mensajes). Si los túneles no están activados, todo el tráfico IP se interrumpirá.
Todo el tráfico que se envíe por un túnel desde un dispositivo llegará a un servidor VPN. Si quieres, puedes filtrar y supervisar el tráfico antes de enviarlo a su destino, tanto si está en la red de la empresa como en internet. Asimismo, el tráfico hacia el dispositivo pasará antes por el servidor VPN de tu empresa, donde puede que se filtre y supervise antes de reenviarse al dispositivo.