Brug indbyggede funktioner til netværkssikkerhed til Apple-enheder
Apple-enheder indeholder indbyggede teknologier til netværkssikkerhed, der godkender brugere og beskytter deres data, mens dataene overføres. Understøttelse af netværkssikkerheden på Apple-enheder omfatter:
Indbygget IPsec, IKEv2, L2TP
Custom VPN via App Store-apps (iOS, iPadOS, visionOS)
Custom VPN via VPN-klienter fra tredjeparter (macOS)
Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) og DTLS
SSL/TLS med X.509-certifikater
WPA/WPA2/WPA3 Enterprise med 802.1X
Certifikatbaseret godkendelse
Nøgle (shared secret) og Kerberos-godkendelse
RSA SecurID, CRYPTOCard (macOS)
Netværkskanaler i iOS, iPadOS, macOS og tvOS
En indbygget kanal i iOS 17, iPadOS 17, macOS 14 og tvOS 17 eller nyere versioner kan bruges til at beskytte trafik vha. en krypteret HTTP/3- eller HTTP/2-forbindelse som et alternativ til en VPN. En netværkskanal er en særlig form for proxy, som er optimeret til ydelse og bruger de nyeste transport- og sikkerhedsprotokoller. Den kan bruges til at sikre TCP- og UDP-trafik for en bestemt app, en hel enhed samt ved adgang til interne ressourcer. Der kan anvendes flere netværkskanaler parallelt, bl.a. iCloud Private Relay, uden at der kræves en app. Du kan få flere oplysninger i Brug netværkskanaler.
VPN og IPsec
Mange virksomheder har en eller anden form for virtuelt privat netværk (VPN). Disse VPN-tjenester kræver som regel minimal indstilling og konfiguration, før de kan arbejde med Apple-enheder, som mange af de mest brugte VPN-teknologier kan integreres i.
iOS, iPadOS, macOS, tvOS, watchOS og visionOS understøtter IPsec-protokoller og -godkendelsesmetoder. Du kan få flere oplysninger i Oversigt over VPN.
TLS
Den kryptografiske protokol SSL 3 og den symmetriske RC4-kodepakke blev udfaset i iOS 10 og macOS 10.12. Som standard er RC4-kodepakker ikke slået til på TLS-klienter eller -servere med Secure Transport API’er. Derfor kan de ikke oprette forbindelse, når RC4 er den eneste tilgængelige kodepakke. Tjenester eller apps, som kræver RC4 , bør opgraderes til at kunne bruge kodepakker for at øge sikkerheden.
Yderligere sikkerhedsforbedringer omfatter:
Påkrævet signering af SMB-forbindelser (macOS)
Understøttelse af AES som krypteringsmetode til NFS, der bruger Kerberos (macOS) i macOS 10.12 og nyere versioner
Transport Layer Security (TLS 1.2, TLS 1.3)
TLS 1.2 understøtter både AES 128 og SHA-2.
SSL 3 (iOS, iPadOS, visionOS)
DTLS (macOS)
Safari, Kalender, Mail og andre internetapps bruger disse mekanismer til at åbne en krypteret kommunikationskanal mellem iOS, iPadOS, macOS og visionOS og virksomhedstjenester.
Du kan også indstille den laveste og højeste TLS-version til dine 802.1X-netværksdata med EAP-TLS, EAP-TTLS, PEAP og EAP-FAST. Du kan f.eks. indstille:
Begge til samme TLS-version
Laveste TLS-version til en lavere værdi og højeste TLS-version til en højere værdi, hvor værdien derefter skal forhandles med RADIUS-serveren
Ingen værdi, hvilket betyder, at 802.1X-supplikanten skal forhandle TLS-versionen med RADIUS-serveren
iOS, iPadOS, macOS og visionOS kræver, at serverens bladcertifikat er signeret med en SHA-2-signaturalgoritme og enten bruger en RSA-nøgle på mindst 2048 bit eller en ECC-nøgle på mindst 256 bit.
Understøttelse af TLS 1.2 i 802.1X-godkendelse er tilføjet i iOS 11, iPadOS 13.1, macOS 10.13 og visionOS 1.1 og nyere versioner. Godkendelsesservere, der understøtter TLS 1.2, skal måske opdateres for at være kompatible:
Cisco: ISE 2.3.0
FreeRADIUS: Opdater til version 2.2.10 og 3.0.16.
Aruba ClearPass: Opdater til version 6.6.x.
ArubaOS: Opdater til version 6.5.3.4.
Microsoft: Windows Server 2012 - Network Policy Server.
Microsoft: Windows Server 2016 - Network Policy Server.
Du kan få flere oplysninger om 802.1X i Opret forbindelse fra Apple-enheder til 802.1X-netværk.
WPA2/WPA3
Alle Apple-platforme understøtter branchens standardløsninger til Wi-Fi-godkendelse og krypteringsprotokoller med henblik på at levere godkendt adgang og fortrolighed, når der oprettes forbindelse til følgende sikre trådløse netværk:
WPA2 Personal
WPA2 Enterprise
WPA2/WPA3 Transitional
WPA3 Personal
WPA3 Enterprise
WPA3 Enterprise 192-bit sikkerhed
Du kan se en liste med protokoller til trådløs 802.1X-godkendelse i 802.1X-konfigurationer til Mac.
Kryptering i FaceTime og iMessage
iOS, iPadOS, macOS og visionOS opretter et unikt id til hver FaceTime- og iMessage-bruger som hjælp til at sikre, at kommunikationen krypteres, routes og forbindes korrekt.