VPN-Überblick für die Implementierung von Apple-Geräten
Der sichere Zugriff auf private Unternehmensnetzwerke wird unter iOS, iPadOS, macOS, tvOS, watchOS und visionOS mithilfe von VPN-Protokollen sichergestellt, die auf anerkannten Industriestandards beruhen.
Unterstützte Protokolle
iOS, iPadOS, macOS, tvOS, watchOS und visionOS unterstützen die folgenden Protokolle und Authentifizierungsmethoden:
IKEv2: Unterstützung für IPv4 und IPv6 und Folgendes:
Authentifizierungsmethoden: Shared Secret, Zertifikate, EAP-TLS und EAP-MSCHAPv2
Suite B Cryptography: ECDSA-Zertifikate, ESP-Verschlüsselung mit GCM und ECP Groups für die Diffie-Hellman-Gruppe
Weitere Funktionen: MOBIKE, IKE-Fragmentierung, Serverumleitung, Split Tunnel
iOS, iPadOS, macOS und visionOS unterstützen außerdem die folgenden Protokolle und Authentifizierungsmethoden:
L2TP über IPsec: Benutzerauthentifizierung per MS-CHAP v2-Passwort, Two-Factor-Token, Zertifikat und Systemauthentifizierung per gemeinsamem geheimem Schlüssel (Shared Secret) oder Zertifikat
macOS kann außerdem die Kerberos-Systemauthentifizierung per gemeinsamem geheimen Schlüssel (Shared Secret) oder per Zertifikat mit L2TP über IPsec verwenden.
IPsec: Benutzerauthentifizierung per Passwort, Two-Factor-Token und Systemauthentifizierung per gemeinsamem geheimem Schlüssel (Shared Secret) und Zertifikaten
Wenn deine Organisation diese Protokolle unterstützt, sind keine zusätzlichen Netzwerkkonfigurationen oder Apps anderer Anbieter erforderlich, um Apple-Geräte mit deinem privaten virtuellen Netzwerk zu verbinden.
Unterstützt werden auch Technologien wie IPv6, Proxy-Server und Split-Tunneling. Das Split-Tunneling bietet eine flexible VPN-Erfahrung bei der Verbindung mit dem Netzwerk einer Organisation.
Darüber hinaus ermöglicht das Network Extension-Framework Drittentwicklern, eine eigene VPN-Lösung für iOS, iPadOS, macOS, tvOS und visionOS zu entwickeln. Mehrere VPN-Anbieter bieten Apps an, mit denen sich die Konfiguration von Apple-Geräten für ihre Lösungen vereinfachen lässt. Dazu muss die App des Anbieters für die jeweilige Lösung Store installiert und optional ein Konfigurationsprofil mit den nötigen Einstellungen bereitgestellt werden.
VPN On Demand
In iOS, iPadOs, macOS und tvOS können Apple-Geräte mit VPN On-Demand bei Bedarf automatisch eine Verbindung herstellen. Hierfür ist eine Authentifizierungsmethode erforderlich, die keine Interaktion durch den Benutzer erfordert, etwa eine zertifikatsbasierte Authentifizierung. VPN On-Demand wird mit dem Schlüssel OnDemandRules
in der VPN-Payload eines Konfigurationsprofils konfiguriert. Regeln werden in zwei Etappen angewendet:
Etappe der Netzwerkerkennung: Es werden die VPN-Voraussetzungen definiert, die angewendet werden, wenn sich die primäre Netzwerkverbindung des Geräts ändert.
Etappe der Verbindungsevaluierung: Es werden die VPN-Voraussetzungen für bedarfsabhängige Verbindungsanfragen für Domainnamen definiert.
Regeln können z. B. für Folgendes verwendet werden:
Erkennen, wann ein Apple-Gerät mit einem internen Netzwerk verbunden und kein VPN erforderlich ist.
Erkennen, wann ein unbekanntes WLAN verwendet wird und ein VPN erforderlich ist
Starten von VPN, wenn die DNS-Anfrage nach einem bestimmten Domainnamen fehlschlägt
VPN pro App
In iOS, iPadOS, macOS, watchOS und visionOS 1.1 können VPN-Verbindungen auf der Basis einzelner Apps hergestellt werden. Dadurch kann gezielt gesteuert werden, welche Daten über das VPN übertragen werden. Diese Möglichkeit zum Trennen von Datenverkehr auf App-Ebene erlaubt die Trennung von persönlichen Daten von Daten der Organisation. Dadurch entsteht ein sicheren Netzwerk für intern genutzte Apps und die Privatsphäre bei Aktivitäten auf persönlichen Geräten bleibt gewahrt.
VPN pro App ermöglicht jeder über eine MDM-Lösung verwalteten App, über einen sicheren Tunnel mit dem privaten Netzwerk zu kommunizieren. Gleichzeitig werden nicht verwaltete Apps von der Nutzung des privaten Netzwerks ausgeschlossen. Für verwaltete Apps können unterschiedliche VPN-Verbindungen konfiguriert werden, um Daten noch weitergehender zu schützen. Eine App für Angebote könnte beispielsweise ein anderes Rechenzentrum verwenden als eine App für die Buchhaltung.
Nachdem VPN pro App für eine VPN-Konfiguration erstellt wurde, musst du diese Verbindung mit den Apps verknüpfen, die sie verwenden, um den Netzwerkverkehr für diese Apps zu schützen. Dies geschieht über die Mapping-Payload „VPN pro App“ (macOS) oder durch Angeben der VPN-Konfiguration innerhalb des Befehls für die App-Installation (iOS, iPadOS, macOS, visionOS 1.1).
Das VPN pro App lässt sich für die Zusammenarbeit mit dem integrierten IKEv2 VPN-Client von iOS, iPadOS, watchOS und visionOS 1.1 konfigurieren. Setze dich bezüglich weiterer Informationen zur Unterstützung von VPN pro App in individuellen VPN-Lösungen mit den jeweiligen SSL- oder VPN-Anbietern in Verbindung.
Hinweis: Damit VPN pro App in iOS, iPadOS, watchOS 10 und visionOS 1.1 verwendet werden kann, muss eine App von der MDM-Lösung verwaltet werden.
Permanentes VPN (Always On VPN)
Permanente VPNs (Always On VPN) für IKEv2 bieten deiner Organisation volle Kontrolle über den iOS- und iPadOS-Datenverkehr, da der gesamte IP-Datenverkehr zurück zur Organisation über Tunnel erfolgt. Deine Organisation kann den Datenverkehr zu und von Geräten überwachen und filtern, Daten innerhalb deines Netzwerks schützen und den Zugriff der Geräte auf das Internet beschränken.
Die Aktivierung des permanenten VPNs (Always On VPN) setzt betreute Geräte voraus. Nach der Installation des Profils für ein permanentes VPN (Always On VPN) auf einem Gerät wird das permanente VPN automatisch ohne Benutzerinteraktion aktiviert. Das permanente VPN bleibt aktiviert (auch nach Neustarts), bis das zugehörige Profil deinstalliert wird.
Ist das permanente VPN (Always On VPN) auf einem Gerät aktiviert, ist die Aktivierung und Deaktivierung des VPN-Tunnels an den IP-Status der Schnittstelle gebunden. Wenn die Schnittstelle im IP-Netzwerk erreichbar wird, versucht sie, den Tunnel herzustellen. Wenn die Schnittstelle im IP-Netzwerk nicht mehr erreichbar ist, wird der Tunnel deaktiviert.
Permanente VPNs (Always On VPN) unterstützen auch Tunnel auf Schnittstellenbasis. Für Geräte mit Mobilfunkverbindungen wird ein separater Tunnel für jede aktive IP-Schnittstelle verwendet (ein Tunnel für die Mobilfunkschnittstelle und ein Tunnel für die WLAN-Schnittstelle). Solange die VPN-Tunnel aktiv sind, wird der gesamte IP-Datenverkehr durch sie geleitet. Zum Datenverkehr zählen der gesamte über spezifische IP-Adressen geleitete Datenverkehr und der gesamte Datenverkehr in bestimmten IP-Bereichen (d. h. der Datenverkehr von Apple-Apps wie FaceTime und Nachrichten). Wenn die Tunnel nicht aktiv sind, wird der gesamte IP-Datenverkehr beendet.
Der gesamte Tunneldatenverkehr von einem Gerät führt zu einem VPN-Server. Du kannst optional den Datenverkehr überwachen und filtern, bevor du ihn an sein Ziel innerhalb des Netzwerks deiner Organisation oder des Internets weiterleitest. Umgekehrt wird auch der Datenverkehr zum Gerät an den VPN-Server deiner Organisation weitergeleitet, wo du ihn filtern und überwachen kannst, bevor er an das Gerät weitergeleitet wird.
Hinweis: Apple Watch-Kopplung wird für permanente VPNs nicht unterstützt.
Transparenter Proxy
Transparente Proxies sind ein spezieller VPN-Typ in macOS. Sie können auf verschiedene Weise zum Überwachen und Transformieren von Netzwerkverkehr verwendet werden. Häufige Anwendungsfälle sind Inhaltsfilterlösungen und Broker für den Zugriff auf Cloud-Dienste. Aufgrund der vielen Anwendungsmöglichkeiten ist es eine gute Idee, die Reihenfolge festzulegen, in der diese Proxies den Datenverkehr sehen und verarbeiten. So ist es beispielsweise empfehlenswert, einen Proxy zum Filtern des Netzwerkverkehrs zu aktivieren, bevor du einen Proxy zum Verschlüsseln des Datenverkehrs aktivierst. Das erreichst du, indem du die Reihenfolge in der VPN-Payload definierst.