VPN-Überblick für die Implementierung von Apple-Geräten
Der sichere Zugriff auf private Unternehmensnetzwerke wird unter iOS, iPadOS und macOS mithilfe von VPN-Protokollen sichergestellt, die auf anerkannten Industriestandards beruhen.
Unterstützte Protokolle
Die Betriebssysteme iOS, iPadOS und macOS unterstützen die folgenden Protokolle und Authentifizierungsmethoden:
IKEv2: Unterstützung für IPv4 und IPv6 und Folgendes:
Authentifizierungsmethoden: Shared Secret, Zertifikate, EAP-TLS und EAP-MSCHAPv2
Suite B Cryptography: ECDSA-Zertifikate, ESP-Verschlüsselung mit GCM und ECP Groups für die Diffie-Hellman-Gruppe
Weitere Funktionen: MOBIKE, IKE-Fragmentierung, Serverumleitung, Split Tunnel
L2TP über IPsec: Benutzerauthentifizierung per MS-CHAP v2-Passwort, Two-Factor-Token, Zertifikat und Systemauthentifizierung per gemeinsamem geheimem Schlüssel (Shared Secret) oder Zertifikat
macOS kann außerdem die Kerberos-Systemauthentifizierung per gemeinsamem geheimen Schlüssel (Shared Secret) oder per Zertifikat mit L2TP über IPsec verwenden.
SSL VPN: Benutzerauthentifizierung per Passwort, Two-Factor-Token und Zertifikate unter Verwendung der zugehörigen App des Anbieters
Cisco IPsec: Benutzerauthentifizierung per Passwort, Two-Factor-Token und Systemauthentifizierung per gemeinsamem geheimem Schlüssel (Shared Secret) und Zertifikaten
Wenn deine Organisation IKEv, L2TP over IPsec oder Cisco IPsec unterstützt, sind keine zusätzlichen Netzwerkkonfigurationen oder Apps anderer Anbieter erforderlich, um Apple-Geräte mit deinem privaten virtuellen Netzwerk zu verbinden.
iOS, iPadOS und macOS unterstützt auch Technologien wie IPv6, Proxyserver und Split-Tunneling. Das Split-Tunneling bietet eine flexible VPN-Erfahrung bei der Verbindung mit dem Netzwerk einer Organisation.
VPN On Demand
In iOS, iPadOs und macOS können Apple-Geräte mit VPN On-Demand bei Bedarf automatisch eine Verbindung herstellen. Hierfür ist eine Authentifizierungsmethode erforderlich, die keine Interaktion durch den Benutzer erfordert, etwa eine zertifikatsbasierte Authentifizierung. VPN On-Demand wird mit dem Schlüssel „OnDemandRules“ in der VPN-Payload eines Konfigurationsprofils konfiguriert. Regeln werden in zwei Etappen angewendet:
Etappe der Netzwerkerkennung: Es werden die VPN-Voraussetzungen definiert, die angewendet werden, wenn sich die primäre Netzwerkverbindung des Geräts ändert.
Etappe der Verbindungsevaluierung: Es werden die VPN-Voraussetzungen für bedarfsabhängige Verbindungsanfragen für Domainnamen definiert.
Regeln können z. B. für Folgendes verwendet werden:
Erkennen, wann ein Apple-Gerät mit einem internen Netzwerk verbunden und kein VPN erforderlich ist.
Erkennen, wann ein unbekanntes WLAN verwendet wird und ein VPN für alle Netzwerkvorgänge erforderlich ist.
Erzwingen von VPN, wenn die DNS-Anfrage nach einem bestimmten Domainnamen fehlschlägt.
VPN pro App
In iOS, iPadOS und macOS können VPN-Verbindungen auf der Basis einzelner Apps hergestellt werden. Dadurch kann gezielt gesteuert werden, welche Daten über das VPN übertragen werden. Diese Möglichkeit zum Trennen von Datenverkehr auf App-Ebene erlaubt die Trennung von persönlichen Daten von Daten der Organisation. Dadurch entsteht ein sicheren Netzwerk für intern genutzte Apps und die Privatsphäre bei Aktivitäten auf persönlichen Geräten bleibt gewahrt.
VPN pro App ermöglicht jeder über eine MDM-Lösung verwalteten App, über einen sicheren Tunnel mit dem privaten Netzwerk zu kommunizieren. Gleichzeitig werden nicht verwaltete Apps von der Nutzung des privaten Netzwerks ausgeschlossen. Für verwaltete Apps können unterschiedliche VPN-Verbindungen konfiguriert werden, um Daten noch weitergehender zu schützen. Eine App für Angebote könnte beispielsweise ein anderes Rechenzentrum verwenden als eine App für die Buchhaltung.
Nachdem VPN pro App für eine VPN-Verbindung aktiviert wurde, musst du diese Verbindung mit den Apps verknüpfen, die sie verwenden, um den Netzwerkverkehr für diese Apps zu schützen. Dies geschieht über die Mapping-Payload „VPN pro App“ (macOS) oder durch Angeben der VPN-Verbindung innerhalb des Befehls für die App-Installation (iOS und iPadOS).
VPN lässt sich pro App für die Zusammenarbeit mit dem integrierten VPN-Client von iOS und iPadOs konfigurieren, wobei IKEv2-VPN-Clients unterstützt werden.
IKEv2 wird vom IPsec-Client unterstützt. Setze dich bezüglich weiterer Informationen zur Unterstützung von VPN pro App mit den jeweiligen SSL- oder VPN-Anbietern in Verbindung.
Hinweis: Damit VPN pro App in iOS und iPadOS verwendet werden kann, muss eine App über MDM verwaltet werden und Standardnetzwerk-APIs verwenden.
Permanentes VPN (Always On VPN)
Permanente VPNs (Always On VPN) bieten deiner Organisation volle Kontrolle über den iOS- und iPadOS-Datenverkehr, da der gesamte IP-Datenverkehr zurück zur Organisation über Tunnel erfolgt. Das Standardtunnelungsprotokoll IKEv2 schützt den übertragenen Datenverkehr durch Verschlüsselung der Daten. Deine Organisation kann den Datenverkehr zu und von Geräten überwachen und filtern, Daten innerhalb deines Netzwerks schützen und den Zugriff der Geräte auf das Internet beschränken.
Die Aktivierung des permanenten VPNs (Always On VPN) setzt betreute Geräte voraus. Nach der Installation des Profils für ein permanentes VPN (Always On VPN) auf einem Gerät wird das permanente VPN automatisch ohne Benutzerinteraktion aktiviert. Das permanente VPN bleibt aktiviert (auch nach Neustarts), bis das zugehörige Profil deinstalliert wird.
Ist das permanente VPN (Always On VPN) auf einem Gerät aktiviert, ist die Aktivierung und Deaktivierung des VPN-Tunnels an den IP-Status der Schnittstelle gebunden. Wenn die Schnittstelle im IP-Netzwerk erreichbar wird, versucht sie, den Tunnel herzustellen. Wenn die Schnittstelle im IP-Netzwerk nicht mehr erreichbar ist, wird der Tunnel deaktiviert.
Permanente VPNs (Always On VPN) unterstützen auch Tunnel auf Schnittstellenbasis. Für Geräte mit Mobilfunkverbindungen wird ein separater Tunnel für jede aktive IP-Schnittstelle verwendet (ein Tunnel für die Mobilfunkschnittstelle und ein Tunnel für die WLAN-Schnittstelle). Solange die VPN-Tunnel aktiv sind, wird der gesamte IP-Datenverkehr durch sie geleitet. Zum Datenverkehr zählen der gesamte über spezifische IP-Adressen geleitete Datenverkehr und der gesamte Datenverkehr in bestimmten IP-Bereichen (d. h. der Datenverkehr von Apple-Apps wie FaceTime und Nachrichten). Wenn die Tunnel nicht aktiv sind, wird der gesamte IP-Datenverkehr beendet.
Der gesamte Tunneldatenverkehr von einem Gerät führt zu einem VPN-Server. Du kannst optional den Datenverkehr überwachen und filtern, bevor du ihn an sein Ziel innerhalb des Netzwerks deiner Organisation oder des Internets weiterleitest. Umgekehrt wird auch der Datenverkehr zum Gerät an den VPN-Server deiner Organisation weitergeleitet, wo du ihn filtern und überwachen kannst, bevor er an das Gerät weitergeleitet wird.