A VPN áttekintése az Apple eszközök üzembe helyezéséhez
A privát vállalati hálózatokhoz való biztonságos hozzáférés elfogadott VPN (Virtual Private Network) protokollok segítségével lehetséges az iOS, az iPadOS, a macOS, a tvOS, a watchOS és a visionOS rendszerben.
Támogatott protokollok
Az iOS, az iPadOS, a macOS, a tvOS, a watchOS és a visionOS az alábbi protokollok és hitelesítési módszerek használatát támogatja:
IKEv2: Támogatja az IPv4 és az IPv6, illetve az alábbiak használatát:
Hitelesítési módszerek: Megosztott titkos kulcs, tanúsítványok, EAP-TLS és EAP-MSCHAPv2
B sorozatú kriptográfia: ECDSA-tanúsítványok, ESP-titkosítás GCM megoldással és ECP-csoportok a Diffie-Hellman csoporthoz
További funkciók: MOBIKE, IKE töredezettség, szerver-átirányítás, osztott alagút
Az iOS, az iPadOS, a macOS és a visionOS az alábbi protokollok és hitelesítési módszerek használatát is támogatja:
IPsec-es L2TP: Felhasználói hitelesítés MS-CHAP v2 jelszóval, kétlépéses tokennel, tanúsítvánnyal, géphitelesítés megosztott titkos kulccsal vagy tanúsítvánnyal
A macOS rendszer megosztott titkos kulccsal vagy tanúsítvánnyal történő Kerberos-géphitelesítést is használhat az L2TP/IPsec protokoll segítségével.
IPsec: Felhasználói hitelesítés jelszóval, kétfaktoros tokennel, továbbá géphitelesítés megosztott titkos kulccsal és tanúsítványokkal
Ha az adott szervezet támogatja ezen protokollok használatát, akkor további hálózati konfigurálás szükségessége vagy harmadik felek appjai nélkül csatlakoztathatja az Apple eszközöket a virtuális privát hálózatához.
A támogatás kiterjed az olyan technológiákra is, mint az IPv6, a proxykiszolgálók és az osztott alagútkezelés. Az osztott alagútkezelés rugalmas VPN-élményt nyújt a szervezet hálózataira történő csatlakozáskor.
Mindemellett a Network Extension keretrendszer lehetővé teszi harmadik félnek minősülő fejlesztők számára, hogy egyéni VPN-megoldásokat hozzanak létre iOS, iPadOS, macOS, tvOS és visionOS rendszerhez. Több VPN-szolgáltató is létrehozott olyan appokat, amelyekkel az Apple-eszközök úgy konfigurálhatók, hogy az általuk biztosított megoldásokkal lehessen őket használni. Ha egy adott megoldáshoz szeretne konfigurálni egy eszközt, telepítse a szolgáltató társappját, és hozzon létre igény szerint egy konfigurációs profilt a szükséges beállításokkal.
Igény szerinti VPN
iOS, iPadOS, macOS és tvOS rendszer alatt az igény szerinti VPN lehetővé teszi, hogy az Apple-eszközök automatikusan létrehozzanak egy kapcsolatot, ha szükséges. Olyan hitelesítési módra van szükség, amelyhez nincs szükség felhasználói beavatkozásra – ilyen például a tanúsítványalapú hitelesítés. Az igény szerinti VPN az OnDemandRules kulccsal konfigurálható egy konfigurációs profil VPN-adatcsomagjában. A szabályok alkalmazására két szakaszban kerül sor:
Hálózatészlelési szakasz: Azokat a VPN-követelményeket definiálja, amelyeket az eszköz elsődleges hálózati kapcsolatának megváltozásakor alkalmaz a rendszer.
Kapcsolatértékelési szakasz: Azokat a VPN-követelményeket definiálja, amelyekkel csatlakozási kérelmek küldhetők doménnevekhez igény szerint.
Szabályokat többek között az alábbiakra alkalmazhat:
Felismerheti, hogy egy Apple eszköz mikor csatlakozik belső hálózathoz, és mikor szükségtelen a VPN.
Felismerheti, hogy mikor van ismeretlen Wi-Fi-hálózat használatban, és kötelezővé teheti a VPN használatát
Elindíthatja a VPN használatát, amikor egy adott doménnévvel kapcsolatos DNS-kérelem sikertelen.
Apponkénti VPN
iOS, iPadOS, macOS, watchOS és visionOS 1.1 rendszerben apponként is létrehozhatók VPN-kapcsolatok, amivel részletesebben meghatározható, hogy milyen adatok mehetnek keresztül a VPN-en. A forgalom appszinten történő elkülönítése lehetővé teszi a személyes és szervezeti adatok különválasztását. Ennek eredményeként az apponkénti VPN biztonságos hálózatkezelést tesz lehetővé a belső használatú appokhoz, miközben bizalmasan kezeli az eszközökön végzett személyes tevékenységeket.
Az apponkénti VPN lehetővé teszi a mobileszköz-felügyeleti (MDM) megoldás által felügyelt összes app számára, hogy a privát hálózattal egy biztonságos alagúton keresztül kommunikáljon, és kizárja a nem felügyelt appokat a privát hálózat használatából. A felügyelt appok különböző VPN-kapcsolatokkal konfigurálhatók, hogy az adatok még nagyobb biztonságban legyenek. Egy értékesítési árajánlatokhoz használt app például teljesen más adatközpontot használhat, mint egy kifizetési számlákat kezelő app.
Miután bármelyik VPN-kapcsolathoz hozta létre az apponkénti VPN-konfigurációt, az adott kapcsolatot társítania kell azokkal az appokkal, amelyek használják, hogy a hálózati forgalom biztonságos legyen az appok számára. A műveletet az apponkénti VPN-hozzárendelés adatcsomaggal végezheti el (macOS), illetve oly módon, ha megadja a VPN-konfigurációt az app telepítési parancsában (iOS, iPadOS, macOS és visionOS 1.1).
Az apponkénti VPN úgy konfigurálható, hogy együtt lehessen használni az iOS, az iPadOS, a watchOS és a visionOS 1.1 beépített IKEv2 VPN-kliensével. Az apponkénti VPN támogatására az egyéni VPN-megoldásokban vonatkozó tudnivalókról érdeklődjön a VPN szállítóinál.
Megjegyzés: Ha az apponkénti VPN-t iOS, iPadOS, watchOS 10 és visionOS 1.1 rendszerben szeretné használni, akkor az appot az MDM-nek kell felügyelnie.
Mindig bekapcsolt VPN
Az IKEv2-höz elérhető mindig bekapcsolt VPN teljes körű felügyeletet biztosít az adott szervezet számára az iOS- és iPadOS-forgalom felett, mivel az összes IP-címet visszairányítja a szervezethez. A szervezet nyomon követheti és szűrheti az eszközök bejövő és kimenő forgalmát, biztonságba helyezheti az adatokat a hálózaton belül, és korlátozhatja az eszközök internet-hozzáférését.
A Mindig bekapcsolt VPN aktiválásához eszközadminisztrálás szükséges. Miután a Mindig bekapcsolt VPN profilja telepítve lett egy eszközre, a Mindig bekapcsolt VPN felhasználói beavatkozást nem igénylő módon automatikusan aktiválódik, és egészen addig aktív marad (újraindításkor is), amíg a Mindig bekapcsolt VPN profilját eltávolítják.
Ha a Mindig bekapcsolt VPN aktiválva van az eszközön, a VPN-alagút előtérbe helyezése és a kapcsolat bontása a kapcsolat IP-állapotától függ. Ha a kapcsolat IP-hálózati elérhetőségre tesz szert, megpróbál létrehozni egy alagutat. Ha a kapcsolat IP-állapota visszaesik, az alagút megszűnik.
A Mindig bekapcsolt VPN a kapcsolatonkénti alagutak használatát is támogatja. A mobiladathálózati-kapcsolattal rendelkező eszközök esetében mindegyik aktív IP-kapcsolathoz egy külön alagút áll rendelkezésre (egy alagút a mobiladathálózati-kapcsolathoz és egy alagút a Wi-Fi-kapcsolathoz). Amíg a VPN-alagutak aktívak, az összes IP-forgalom az alagutakon keresztül halad át. A forgalom magában foglalja az IP alapján továbbított összes forgalmat és az IP-hatókörön belüli összes forgalmat (a belső fejlesztésű appok, pl. a FaceTime és az Üzenetek forgalmát). Ha az alagutak inaktívak, az összes IP-forgalom leáll.
Az eszközről továbbított összes forgalom egy VPN-szerverre kerül. Opcionális szűrőket és nyomonkövetési műveleteket alkalmazhat, mielőtt továbbítja a forgalmat a szervezet hálózatán belüli célhelyre vagy az internetre. Hasonlóképpen az eszköz beérkező forgalma a szervezet VPN-szerverére van átirányítva, ahol szűrési és nyomonkövetési folyamatok alkalmazhatók, mielőtt a forgalom továbbítva lenne az eszközre.
Megjegyzés: Az Apple Watch párosítása nem támogatott Mindig bekapcsolt VPN esetén.
Átlátszó proxy
Az átlátszó proxy egy különleges VPN-típus a macOS-ben és különféle módokon használható a hálózati forgalom monitorozására és átalakítására. Gyakori használati esetek a tartalomszárú megoldások és felhőszolgáltatások elérése szolgáló ügynökök. Figyelembe véve a változatos felhasználási módokat, érdemes lehet definiálni, hogy mely proxyk láthatják és kezelhetik a forgalmat. Ha például meg szeretne hívni egy hálózati forgalmat szűrő proxyt, mielőtt meghívna egy proxyt, amely titkosítja a forgalmat. Ezt úgy teheti meg, hogy definiálja a sorrendet a VPN-adatcsomagban.