Utiliser des fonctionnalités de sécurité réseau intégrées pour les appareils Apple
Les appareils Apple présentent des technologies de sécurité réseau intégrées qui autorisent les utilisateurs et protègent leurs données pendant la transmission. La prise en charge de la sécurité réseau pour les appareils Apple comprend :
Protocoles Cisco IPsec, IKEv2 et L2TP intégrés
VPN SSL via les apps de l’App Store (iOS et iPadOS)
VPN SSL via les clients VPN tiers (macOS)
Protocoles Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) et DTLS
SSL/TLS avec des certificats X.509
Protocoles WPA/WPA2/WPA3 Enterprise avec 802.1X
Authentification par certificat
Authentification Kerberos et authentification par secret partagé
RSA SecurID, CRYPTOCard (macOS)
VPN et IPsec
De nombreux environnements d’entreprise possèdent une forme de réseau privé virtuel (VPN). Ces services VPN requièrent en règle générale des réglages et une configuration minimes pour pouvoir fonctionner avec des appareils Apple, lesquels prennent en charge l’intégration de nombreuses technologies VPN courantes.
iOS, iPadOS et macOS prennent en charge les protocoles et méthodes d’authentification IPsec. Pour en savoir plus, consultez la rubrique Vue d’ensemble des VPN.
SSL/TLS
Le protocole cryptographique SSL 3 et la suite de chiffrement symétrique RC4 sont devenus obsolètes sous iOS 10 et macOS 10.12. Par défaut, les clients ou serveurs TLS utilisant les API Secure Transport n’ont pas de suite de chiffrement RC4 activée. Par conséquent, ils ne sont pas capables de se connecter lorsque RC4 est la seule suite de chiffrement disponible. Pour plus de sécurité, les services ou les apps nécessitant RC4 doivent être mis à niveau pour activer les suites de chiffrement.
Les améliorations supplémentaires en matière de sécurité comprennent :
Signature requise pour les connexions SMB (macOS)
Sous macOS 10.12 ou ultérieur, prise en charge du chiffrement AES comme méthode de chiffrement pour les NFS kerbérisés (macOS)
Protocoles Transport Layer Security (TLS v1.2, TLS 1.3)
TLS 1.2 prend en charge les chiffrements AES 128 et SHA-2.
SSL 3 (iOS and iPadOS)
DTLS (macOS)
Safari, Calendrier, Mail et d’autres apps Internet utilisent ces protocoles pour activer un canal de communication chiffré entre les appareils iOS, iPadOS et macOS et les services d’entreprise.
Vous pouvez également définir votre version TLS minimale et maximale pour vos données utiles de réseau 802.1X avec EAP-TLS, EAP-TTLS, PEAP et EAP-FAST. Vous pouvez, par exemple, définir :
Les deux sur la même version TLS spécifique
Une valeur inférieure pour la version TLS minimale et une valeur supérieure pour la version TLS maximale, qui seraient ensuite négociées avec le serveur RADIUS
Une valeur nulle, ce qui autoriserait le demandeur 802.1X à négocier la version TLS avec le serveur RADIUS
iOS, iPadOS et macOS requièrent la signature du certificat nœud terminal du serveur à l’aide des algorithmes de signature de la famille SHA-2 et doit utiliser une clé RSA d’au moins 2 048 octets ou une clé ECC d’au moins 256 octets.
iOS 11, iPadOS 13.1 et macOS 10.13 ou ultérieur prennent en charge TLS 1.2 pour l’authentification 802.1X. Les serveurs d’authentification prenant en charge TLS 1.2 peuvent nécessiter les mises à jour de compatibilité suivantes :
Cisco : ISE 2.3.0
FreeRADIUS : Mettre à jour vers la version 2.2.10 et 3.0.16.
Aruba ClearPass : Mettre à jour vers la version 6.6.x.
ArubaOS : Mettre à jour vers la version 6.5.3.4.
Microsoft : Windows Server 2012 - Serveur de stratégie réseau.
Microsoft : Windows Server 2016 - Serveur de stratégie réseau.
Pour en savoir plus sur le protocole 802.1X, consultez la rubrique Connecter des appareils Apple à des réseaux 802.1X.
WPA2/WPA3
Toutes les plateformes Apple prennent en charge l’authentification Wi-Fi et les protocoles de chiffrement standards, afin de proposer un accès authentifié et d’assurer de la confidentialité lors de la connexion aux réseaux sans fil sécurisés suivants :
WPA2 Personnel
WPA2 Entreprise
WPA2/WPA3 Transitionnel
WPA3 Personnel
WPA3 Entreprise
WPA3 Entreprise sécurité 192 bits
Pour afficher une liste de protocoles d’authentification sans fil 802.1X, consultez la rubrique Configurations 802.1X pour Mac.
Chiffrement FaceTime et iMessage
iOS, iPadOS et macOS créent un identifiant unique pour chaque utilisateur de FaceTime et d’iMessage, veillant ainsi à ce que les communications soient correctement chiffrées, acheminées et connectées.