Beépített hálózatbiztonsági funkciók használata Apple-eszközökhöz
Az Apple-eszközök olyan beépített hálózati biztonsági technológiákat tartalmaznak, amelyek ellenőrzik a felhasználók kilétét, és adatátvitel közben segít megvédeni az adatokat. Az Apple-eszközök hálózati biztonságának támogatása a következőket foglalja magába:
Beépített IPsec, IKEv2, L2TP
Egyéni VPN az App Store-appokon keresztül (iOS és iPadOS)
Egyéni VPN-klienseken keresztüli SSL VPN (macOS)
Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) és DTLS
SSL/TLS X.509-tanúsítványokkal
WPA/WPA2/WPA3 Enterprise 802.1X tanúsítvánnyal
Tanúsítványalapú hitelesítés
Megosztott titkos kulcs és Kerberos-hitelesítés
RSA SecurID, CRYPTOCard (macOS)
iOS, iPadOS, macOS és tvOS rendszerek hálózati reléi
Az iOS 17, iPadOS 17, macOS 14 és tvOS 17 vagy újabb operációs rendszerekben egy beépített relé használható a forgalom biztonságossá tételéhez egy titkosított HTTP/3- vagy HTTP/2-kapcsolat használatával a VPN alternatívájaként. A hálózati átjátszó egy különleges típusú proxy, amely teljesítményre van optimalizálva, és a legújabb átviteli és biztonsági protokollokat használja. Ez használható egy adott alkalmazás, egy egész eszköz TCP- és UDP-forgalmának biztonságossá tételéhez, vagy belső erőforrások elérése során. Párhuzamosan több hálózati átjátszó (köztük az iCloud privát átjátszó) használható, és nincs szükség appra. További tudnivalókért lásd: Hálózati átjátszók használata.
VPN és IPsec
Számos vállalati környezetben található valamilyen virtuális magánhálózat (VPN). Ezek a VPN szolgáltatások rendszerint minimális telepítést és konfigurálást igényelnek az Apple eszközökön, amelyek számos elterjedt VPN-technológiát integrálnak.
Az iOS, az iPadOS a macOS, a tvOS és a watchOS támogatja az IPsec-protokollokat és hitelesítési módszereket. További információkért olvassa el A VPN áttekintése című részt.
TLS
Az SSL 3 kriptográfiai protokoll és az RC4 szimmetrikus titkosítócsomag egyaránt elavult lett az iOS 10 és a macOS 10.12 rendszerben. Alapértelmezés szerint a SecureTransport API-val telepített TLS-kliensek vagy -szerverek esetében nincs bekapcsolva az RC4 titkosítócsomag. Ebből adódóan nem tudnak kapcsolódni, ha az RC4 az egyetlen elérhető titkosítócsomag. A nagyobb biztonság érdekében az RC4 rendszert igénylő szolgáltatásokat és appokat frissíteni kell, hogy titkosítócsomagokat lehessen használni.
További biztonsági fejlesztések:
SMB-kapcsolatok aláírási kötelezettsége (macOS)
A macOS 10.12 és újabb rendszerek a Kerberosszal működő NFS titkosítási módszereként az AES-t támogatják (macOS)
Transport Layer Security (TLS 1.2, TLS 1.3)
A TLS 1.2 az AES 128 és az SHA-2 rendszert egyaránt támogatja.
SSL 3 (iOS és iPadOS)
DTLS (macOS)
A Safari, a Naptár, a Mail és egyéb internetappok ezek segítségével teszik lehetővé az iOS, az iPadOS és a macOS, illetve a vállalati szolgáltatások közötti titkosított kommunikációt.
Beállíthatja továbbá a minimális és maximális TLS-verziót az EAP-TLS, EAP-TTLS, PEAP és EAP-FAST protokollt használó, 802.1X szabványú hálózati adatcsomaghoz. Beállíthatja például a következőket:
Mindkettőt a megadott TLS-verzióhoz
A TLS minimális verziójának értékét alacsonyabbra, a TLS maximális verziójának értékét pedig magasabbra, amelyeket majd a RADIUS-szerver egyeztet
Hagyhatja üresen az értéket; ekkor a 802.1X ügyfele egyezteti a TLS verzióját a RADIUS-szerverrel
iOS, iPadOS és macOS rendszerben a szerver levéltanúsítványát az SHA-2 családba tartozó aláírási algoritmussal kell aláírni, és legalább 2048 bites RSA-kulcsot vagy legalább 256 bites ECC-kulcsot kell használni.
Az iOS 11, az iPadOS 13.1 és a macOS 10.13 vagy újabb rendszerek támogatják a TLS 1.2-t a 802.1X hitelesítésben. A TLS 1.2 rendszert támogató hitelesítési szerverek a következő frissítéseket igényelhetik a kompatibilitáshoz:
Cisco: ISE 2.3.0
FreeRADIUS: Frissítsen 2.2.10 és 3.0.16 közötti verzióra.
Aruba ClearPass: Frissítsen a 6.6.x verzióra.
ArubaOS: Frissítsen a 6.5.3.4 verzióra.
Microsoft: Windows Server 2012 - Hálózati házirend-kiszolgáló.
Microsoft: Windows Server 2016 - Hálózati házirend-kiszolgáló.
A 802.1X-szel kapcsolatos további tudnivalókért, lásd: Apple-eszközök csatlakoztatása 802.1X hálózatokhoz.
WPA2/WPA3
Mindegyik Apple-platform támogatja az ipari szabványú Wi-Fi-hitelesítési és -titkosítási protokollokat, hogy hitelesített hozzáférést és az adatok bizalmas kezelését biztosítsák az alábbi biztonságos vezeték nélküli hálózatokhoz való csatlakozáskor:
WPA2 Personal
WPA2 Enterprise
WPA2/WPA3 Transitional
WPA3 Personal
WPA3 Enterprise
192 bites WPA3 Enterprise biztonság
A 802.1X vezeték nélküli hitelesítési protokollok listájának megtekintéséhez, lásd: 802.1X konfigurációk Machez.
FaceTime- és iMessage-titkosítás
Az iOS, az iPadOS és a macOS rendszer létrehoz egy-egy egyedi azonosítót minden FaceTime- és iMessage-felhasználóhoz, hogy a kommunikáció megfelelő titkosításáról, továbbításáról és csatlakoztatásáról gondoskodjon.