Visión general de la VPN para la implantación de dispositivos Apple
iOS, iPadOS, macOS, tvOS, watchOS y visionOS ofrecen acceso seguro a redes corporativas privadas mediante protocolos de red privada virtual (VPN) estándar.
Protocolos compatibles
iOS, iPadOS, macOS, tvOS, watchOS y visionOS son compatibles con los protocolos y métodos de autenticación siguientes:
IKEv2: Compatibilidad con IPv4 y IPv6, así como con:
Métodos de autenticación: Secreto compartido, certificados, EAP-TLS y EAP-MSCHAPv2.
Criptografía Suite B: Certificados ECDSA, encriptación ESP con grupos GCM y ECP para el grupo Diffie-Hellman.
Funciones adicionales: MOBIKE, fragmentación IKE, redirección de servidor, túnel dividido.
iOS, iPadOS, macOS y visionOS también son compatibles con los protocolos y métodos de autenticación siguientes:
L2TP sobre IPsec: Autenticación del usuario por contraseña MS-CHAP 2, identificador de doble factor, certificado y autenticación por máquina mediante secreto compartido o certificado.
macOS también puede utilizar la autenticación por máquina de Kerberos por certificado o secreto compartido con L2TP sobre IPsec.
IPsec: Autenticación del usuario por contraseña, identificador de doble factor y autenticación por máquina mediante secreto compartido y certificados.
Si tu empresa admite uno de esos protocolos, no es necesario ningún tipo de configuración adicional ni apps de terceros para conectar dispositivos Apple a la red privada virtual.
La compatibilidad incluye tecnologías como IPv6, servidores proxy y túneles divididos. Los túneles divididos permiten ofrecer una experiencia VPN flexible al conectar con la red de una organización.
Además, la estructura de extensión de red permite a los desarrolladores de terceros crear una solución VPN personalizada para iOS, iPadOS, macOS, tvOS y visionOS. Varios proveedores de VPN han creado apps que facilitan la configuración de los dispositivos Apple para que usen sus soluciones. Si quieres configurar un dispositivo para que use una solución específica, instala la app correspondiente del proveedor y, opcionalmente, proporciona un perfil de configuración con los ajustes necesarios.
VPN por petición
Con iOS, iPadOS, macOS y tvOS, los dispositivos Apple pueden establecer una conexión automáticamente en función de sus necesidades con la función VPN por petición. Requiere un método de autenticación que no necesite la interacción del usuario (por ejemplo, la autenticación mediante certificado). Se configura usando la clave OnDemandRules en una carga útil de VPN de un perfil de configuración. Las reglas se aplican en dos fases:
Fase de detección de red: Define requisitos de la VPN que se aplican cuando cambia la conexión de red principal del dispositivo.
Fase de evaluación de conexión: Define requisitos de VPN para solicitudes de conexión a nombres de dominio cuando es necesario.
Se pueden utilizar reglas para realizar operaciones como las siguientes:
Identificar cuándo está conectado un dispositivo Apple a una red interna y es innecesaria la conexión VPN.
Identificar cuándo se está usando una red Wi‑Fi desconocida y se necesita una conexión VPN.
Iniciar la conexión VPN cuando falla la solicitud DNS de un nombre de dominio específico.
VPN por app
Con iOS, iPadOS, macOS, watchOS y visionOS 1.1 se pueden establecer conexiones VPN por cada app, lo que permite tener un control más pormenorizado de qué datos viajan por la VPN. Esta capacidad de segregar el tráfico de las apps permite separar los datos personales de los datos que pertenecen a la empresa y, como resultado, la función VPN individual por app proporciona conexión de red segura para apps de uso interno, al tiempo que preserva la privacidad de la actividad de los dispositivos personales.
La VPN individual por app permite que cada app controlada mediante una solución de gestión de dispositivos móviles (MDM) se comunique con la red privada a través un túnel seguro, cosa que no pueden hacer las apps no gestionadas. Las Apps gestionadas se pueden configurar con distintas conexiones VPN para reforzar la protección de los datos. Por ejemplo, una app de elaboración de presupuestos de ventas podría utilizar un centro de datos completamente distinto del que usa una app de facturación y gestión de pagos.
Tras crear la VPN individual por app para cualquier configuración VPN, es necesario asociar esa conexión VPN con las apps que la utilizarán para garantizar el tráfico de red para dichas apps. Esto se realiza mediante la carga útil de asignación de VPN por app (macOS) o especificando la configuración VPN en el comando de instalación de la app (iOS, iPadOS, macOS y visionOS 1.1).
La VPN individual por app puede configurarse para que funcione con el cliente VPN IKEv2 integrado en iOS, iPadOS, watchOS y visionOS 1.1. Para obtener información acerca de la compatibilidad con las soluciones de VPN individual por app, ponte en contacto con tus proveedores de VPN.
Nota: Para usar la VPN individual por app en iOS, iPadOS, watchOS 10 y visionOS 1.1, la app debe estar gestionada por MDM.
VPN siempre activada
La función VPN siempre activada disponible para IKEv2 ofrece a tu organización un control total del tráfico de iOS y iPadOS enviando todo el tráfico IP de vuelta a la organización a través de un túnel. Ahora, tu organización puede supervisar y filtrar tanto el tráfico que llega a los dispositivos como el que sale de ellos, proteger los datos que hay en la red y restringir el acceso de los dispositivos a internet.
La activación de la VPN siempre activada requiere la supervisión de los dispositivos. Después de instalar en un dispositivo el perfil de VPN siempre activada, la función VPN siempre activada se activa automáticamente sin que el usuario tenga que intervenir y permanece activada (incluso cuando se reinician los dispositivos) hasta que se desinstala el perfil de VPN siempre activada.
Cuando la VPN siempre activada está habilitada en el dispositivo, la activación e interrupción del túnel VPN se vincula al estado de la IP de la interfaz. Cuando la interfaz tiene acceso a la red IP, intenta establecer el túnel. Cuando la IP de la interfaz pasa a estar desactivada, el túnel se interrumpe.
La VPN siempre activada también admite túneles por cada interfaz. En el caso de los dispositivos con conexiones de datos móviles, hay un túnel por cada interfaz de IP activa (un túnel para la interfaz de la red móvil y un túnel para la interfaz de la red Wi-Fi). Mientras los túneles VPN estén activos, todo el tráfico IP pasará por ellos. Esto incluye el tráfico IP enrutado y el tráfico IP dirigido (el tráfico de apps de Apple como FaceTime y Mensajes). Si los túneles no están activados, todo el tráfico IP se interrumpirá.
Todo el tráfico que se envíe por un túnel desde un dispositivo llegará a un servidor VPN. Si quieres, puedes filtrar y supervisar el tráfico antes de enviarlo a su destino, tanto si está en la red de la empresa como en internet. Asimismo, el tráfico hacia el dispositivo pasará antes por el servidor VPN de tu empresa, donde puede que se filtre y supervise antes de reenviarse al dispositivo.
Nota: El enlace del Apple Watch no es compatible con la VPN siempre activada.
Proxy transparente
Los proxis transparentes son un tipo especial de VPN de macOS y pueden usarse de distintas maneras para monitorizar y transformar el tráfico de red. Los casos de uso habituales son soluciones de filtro de contenido y agentes para acceder a servicios en la nube. Debido a la variedad de usos, es buena idea definir el orden en que esos proxies consiguen ver y gestionar el tráfico. Por ejemplo, antes de invocar un proxy que encripte el tráfico de la red, conviene invocar uno que lo filtre. Para ello, hay que definir el orden en la carga útil VPN.