Używanie wbudowanych zabezpieczeń sieciowych na urządzeniach Apple
Urządzenia Apple zawierają wbudowane technologie zabezpieczeń sieciowych, które pozwalają na uwierzytelnianie użytkowników i pomagają chronić ich dane podczas przesyłania. Zabezpieczenia sieciowe urządzeń Apple obsługują między innymi:
Wbudowane protokoły IPsec, IKEv2, L2TP
Własny VPN przy użyciu aplikacji z App Store (iOS i iPadOS)
Własny VPN przy użyciu klientów VPN innych firm (macOS)
Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) oraz DTLS
SSL/TLS z certyfikatami X.509
WPA/WPA2/WPA3 Enterprise z 802.1X
Uwierzytelnianie oparte na certyfikatach
Hasło współdzielone i uwierzytelnianie Kerberos
RSA SecurID, CRYPTOCard (macOS)
Przekaźniki sieci w systemach iOS, iPadOS, macOS i tvOS
Wbudowany przekaźnik w systemie iOS 17, iPadOS 17, macOS 14 oraz tvOS 17 lub nowszym może być używany do zabezpieczania ruchu przy użyciu szyfrowanego połączenia HTTP/3 lub HTTP/2 jako alternatywa dla sieci VPN. Przekaźnik sieciowy to specjalny rodzaj serwera proxy, zoptymalizowany pod kątem wydajności, używający najnowszych protokołów przesyłania danych i zabezpieczeń. Za jego pomocą można zabezpieczać ruch sieciowy TCP i UDP danej aplikacji, całego urządzenia oraz podczas uzyskiwania dostępu do zasobów wewnętrznych. Równolegle może być używanych wiele przekaźników sieciowych, w tym usługa Przekazywanie prywatne iCloud — bez konieczności korzystania z dodatkowych aplikacji. Aby uzyskać więcej informacji, zobacz: Używanie przekaźników sieciowych.
VPN oraz IPsec
Wiele środowisk korporacyjnych korzysta z jakiejś formy wirtualnej sieci prywatnej (VPN). Urządzenia Apple integrują się z większością popularnych technologii VPN, więc współpraca tych usług z urządzeniami Apple wymaga zwykle minimalnej konfiguracji.
Systemy iOS, iPadOS, macOS, tvOS i watchOS obsługują protokoły i metody uwierzytelniania IPsec. Aby uzyskać więcej informacji, zobacz: Omówienie VPN.
TLS
Protokół szyfrowania SSL 3 oraz zestaw szyfrów symetrycznych RC4 uznane zostały w systemach iOS 10 i macOS 10.12 za przestarzałe. Domyślnie klienty TLS oraz serwery z zaimplementowanymi API Secure Transport nie mają włączonych zestawów szyfrów RC4. Z tego powodu nie mogą nawiązać połączenia, gdy jedynym dostępnym zestawem szyfrów jest RC4. W celu zwiększenia bezpieczeństwa usługi oraz aplikacje wymagające RC4 powinny zostać uaktualnione, aby obsługiwały zestawy szyfrów.
Dodatkowe ulepszenia bezpieczeństwa:
Wymagane podpisywanie połączeń SMB (macOS)
macOS 10.12 (lub nowszy) obsługuje AES jako metodę szyfrowania podczas korzystania z NFS używającego protokołu Kerberos (macOS)
Transport Layer Security (TLS 1.2, TLS 1.3)
TLS 1.2 obsługuje AES 128 oraz SHA‑2
SSL 3 (iOS i iPadOS)
DTLS (macOS)
Protokoły te używane są przez Safari, Kalendarz, Poczta i inne aplikacje korzystające z Internetu, aby zapewniać szyfrowany kanał komunikacji między systemem iOS, iPadOS lub macOS i usługami korporacyjnymi.
Możesz także określić minimalną i maksymalną wersję protokołu TLS dla pakietu danych sieci 802.1X z EAP‑TLS, EAP‑TTLS, PEAP i EAP‑FAST. Na przykład, możesz:
ustawić obie wartości na tę samą, określoną wersję protokołu TLS,
ustawić minimalną wersję protokołu TLS na niższą wartość, a maksymalną wersję tego protokołu na wyższą wartość — będą one używane podczas negocjacji z serwerem RADIUS,
nie podawać żadnej wartości, co pozwoli klientowi 802.1X na dowolne negocjowanie z serwerem RADIUS wersji protokołu TLS.
Systemy iOS, iPadOS i macOS wymagają, aby certyfikat liść serwera był podpisany przy użyciu algorytmów SHA‑2 i klucza RSA o długości co najmniej 2048 bitów lub klucza ECC o długości co najmniej 256 bitów.
W systemie iOS 11, iPadOS 13.1 oraz macOS 10.13 lub nowszym dodana została obsługa standardu TLS 1.2 podczas uwierzytelniania 802.1X. Serwery uwierzytelniające obsługujące standard TLS 1.2 mogą wymagać następujących uaktualnień zwiększających zgodność:
Cisco: ISE 2.3.0
FreeRADIUS: Uaktualnij do wersji 2.2.10 i 3.0.16.
Aruba ClearPass: Uaktualnij do wersji 6.6.x.
ArubaOS: Uaktualnij do wersji 6.5.3.4.
Microsoft: Windows Server 2012 - Network Policy Server.
Microsoft: Windows Server 2016 - Network Policy Server.
Aby uzyskać więcej informacji na temat sieci 802.1X, zobacz: Przyłączanie urządzeń Apple do sieci 802.1X.
WPA2/WPA3
Wszystkie platformy Apple obsługują uznane standardy uwierzytelniania Wi-Fi oraz protokoły szyfrowania, zapewniając uwierzytelniany dostęp i poufność połączeń z sieciami bezprzewodowymi.
WPA2 Personal
WPA2 Enterprise
WPA2/WPA3 Transitional
WPA3 Personal
WPA3 Enterprise
WPA3 Enterprise z zabezpieczeniem 192-bitowym
Aby zapoznać się z listą protokołów uwierzytelniania bezprzewodowego 802.1X, zobacz: Konfiguracje 802.1X na Macu.
Szyfrowanie FaceTime i iMessage
Systemy iOS, iPadOS i macOS tworzą jednoznaczny identyfikator dla każdego użytkownika FaceTime i iMessage, co pomaga zapewniać szyfrowanie oraz prawidłowe kierowanie i nawiązywanie transmisji.