Utilizzare funzionalità di sicurezza di rete integrate per dispositivi Apple
I dispositivi Apple sono dotati di tecnologie di sicurezza di rete integrate che autorizzano gli utenti e contribuiscono a proteggere i dati durante la trasmissione. Il supporto per la sicurezza di rete dei dispositivi Apple include:
Protocolli IPsec, IKEv2, L2TP integrati
VPN personalizzata tramite le app di App Store (iOS e iPadOS)
VPN personalizzata tramite client VPN di terze parti (macOS)
Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) e DTLS
SSL/TLS con certificati X.509
WPA/WPA2/WPA3 Enterprise con 802.1X
Autenticazione basata su certificati
Autenticazione Kerberos o mediante segreto condiviso
RSA SecurID, CRYPTOCard (macOS)
Relay di rete in iOS, iPadOS, macOS e tvOS
In iOS 17, iPadOS 17, macOS 14 e tvOS 17 o versioni successive, è possibile utilizzare un relay integrato per proteggere il traffico tramite una connessione codificata HTTP/3 o HTTP/2 come alternativa alla VPN. Un relay di rete è un tipo speciale di proxy, ottimizzato per le prestazioni, che utilizza i più recenti protocolli di trasporto e sicurezza. Può essere utilizzato per proteggere il traffico TCP e UDP di un’app in particolare, di un intero dispositivo e durante l’accesso a risorse interne. È possibile utilizzare più relay di rete in parallelo, compreso “Relay privato di iCloud”, senza che sia necessaria un’applicazione. Per ulteriori informazioni, consulta Utilizzare i relay di rete.
VPN e IPsec
Molti ambienti aziendali dispongono di alcune forme di reti private virtuali (VPN, Virtual Private Network). Questi servizi VPN sicuri di solito richiedono impostazioni e configurazioni minime per funzionare con dispositivi Apple, che si integrano con molte tecnologie VPN tra le più comuni.
iOS, iPadOS, macOS, tvOS e watchOS supportano i protocolli e i metodi di autenticazione IPsec. Per ulteriori informazioni, consulta Panoramica VPN.
TLS
Il protocollo di crittografia SSL 3 e la suite di crittografia simmetrica RC4 sono stati abbandonati in iOS 10 e macOS 10.12. Di default, le suite di crittografia RC4 non sono abilitate per i client e i server TLS implementati con le API di Trasporto sicuro. Per tale ragione, non sono in grado di eseguire la connessione quando è disponibile solamente la suite di crittografia RC4. Per aumentare la sicurezza, i servizi e le app che richiedono la crittografia RC4 devono essere aggiornate per abilitare le suite di crittografia.
Miglioramenti aggiuntivi alle funzioni di sicurezza:
È richiesta la firma delle connessioni SMB (macOS)
In macOS 10.12 o versione successiva supporta l’algoritmo AES come metodo di crittografia per le sessioni kerberizzate NFS (macOS)
Transport Layer Security (TLS 1.2, TLS 1.3)
TLS 1.2 supporta AES 128 e SHA-2.
SSL 3 (iOS e iPadOS)
DTLS (macOS)
Safari, Calendario, Mail e altre app internet avviano automaticamente queste funzionalità per instaurare un canale di comunicazione crittografato tra iOS, iPadOS e macOS e i servizi aziendali.
Puoi anche impostare la versione TLS minima e massima per payload di rete 802.1X con EAP-TLS, EAP-TTLS, PEAP e EAP-FAST. Ad esempio, puoi impostare:
Entrambi a una stessa versione TLS specifica.
La versione minima TLS a un valore più basso e la versione massima TLS a un valore più alto, che verrà poi negoziato con il server RADIUS.
A un valore nullo, che permette al 802.1X richiedente di negoziare la versione TLS con il server RADIUS.
iOS, iPadOS e macOS richiedono che il certificato leaf del server venga firmato usando un algoritmo firma della famiglia SHA-2 e che usi una chiave RSA di almeno 2048 bit o una chiave ECC di almeno 256 bit.
iOS 11, iPadOS 13.1 e macOS 10.13 o versioni successive supportano anche TLS 1.2 nell’autenticazione 802.1X. I server di autenticazione che supportano TLS 1.2 potrebbero richiedere i seguenti aggiornamenti per la compatibilità:
Cisco: ISE 2.3.0
FreeRADIUS: aggiornamento alla versione 2.2.10 e 3.0.16.
Aruba ClearPass: aggiornamento alla versione 6.6.x.
ArubaOS: aggiornamento alla versione 6.5.3.4.
Microsoft: Windows Server 2012 - Network Policy Server.
Microsoft: Windows Server 2016 - Network Policy Server.
Per ulteriori informazioni su 802.1X, consulta Connettere dispositivi Apple a reti 802.1X.
WPA2/WPA3
Tutte le piattaforme Apple supportano protocolli di autenticazione e crittografia Wi-Fi standard nel settore, in modo da fornire un accesso autenticato e garantire la riservatezza quando si esegue la connessione alle seguenti reti wireless sicure:
WPA2 Personal
WPA2 Enterprise
WPA2/WPA3 Transitional
WPA3 Personal
WPA3 Enterprise
WPA3 Enterprise (sicurezza a 192 bit)
Per visualizzare un elenco dei protocolli di autenticazione wireless 802.1X, consulta Configurazioni 802.1X per Mac.
Crittografia di FaceTime e iMessage
iOS, iPadPS e macOS creano un ID univoco per ciascun utente FaceTime e iMessage, garantendo che le comunicazioni siano crittografate, instradate e connesse adeguatamente.