Usar recursos de segurança de rede integrados para dispositivos Apple
Os dispositivos Apple têm tecnologias de segurança de rede integradas que autorizam os usuários e ajudam a proteger seus dados durante transmissões. A segurança de rede de dispositivos Apple oferece suporte a:
IPsec, IKEv2, L2TP integrados
VPN Personalizada através de apps da App Store (iOS e iPadOS)
VPN Personalizada através de clientes VPN de terceiros (macOS)
Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) e DTLS
SSL/TLS com certificados X.509
WPA/WPA2/WPA3 Empresarial com 802.1X
Autenticação por certificado
Segredo compartilhado e autenticação Kerberos
RSA SecurID, CRYPTOCard (macOS)
Retransmissões de rede no iOS, iPadOS, macOS e tvOS
Uma retransmissão integrada no iOS 17, iPadOS 17, macOS 14 e tvOS 17 ou posteriores pode ser usada para dar segurança ao tráfego com uma conexão HTTP/3 ou HTTP/2 criptografada, como alternativa à VPN. Uma retransmissão de rede é um tipo especial de proxy otimizado para desempenho que usa os protocolos mais recentes de transporte e segurança. Ela pode ser usada para dar segurança ao tráfego TCP e UDP de um app específico, do dispositivo inteiro e ao acessar recursos internos. Várias retransmissões podem ser usadas em paralelo, incluindo a Retransmissão Privada do iCloud, sem exigir nenhum app. Para obter mais informações, consulte Use retransmissões de rede.
VPN e IPsec
Muitos ambientes empresariais possuem alguma forma de rede virtual privada (VPN). Esses serviços VPN normalmente requerem configuração mínima para o funcionamento com dispositivos da Apple, os quais possuem integração com diversas tecnologias VPN usadas comumente.
O iOS, iPadOS, macOS, tvOS e watchOS são compatíveis com os protocolos e métodos de autenticação IPsec. Para obter mais informações, consulte Visão geral da VPN.
TLS
O protocolo criptográfico SSL 3 e o conjunto de cifras simétricas RC4 não são mais usados no iOS 10 e no macOS 10.12. Por padrão, clientes ou servidores TLS implementados com APIs de Transporte Seguro não têm os conjuntos de cifras RC4 ativados. Por esse motivo, não podem se conectar quando RC4 for o único conjunto de cifras simétricas disponível. Para ter mais segurança, serviços ou apps que requeiram RC4 devem ser atualizados para ativar os conjuntos de cifras simétricas.
Aprimoramentos adicionais de segurança incluem:
Requer assinatura de conexões SMB (macOS)
No macOS 10.12 ou posterior, suporte a AES como método de criptografia para KFS Kerberizado (macOS)
Transport Layer Security (TLS 1.2, TLS 1.3)
Suporte TLS 1.2 para AES 128 e SHA-2.
SSL 3 (iOS e iPadOS)
DTLS (macOS)
O Safari, Calendário, Mail e outros apps de internet usam esses mecanismos para ativar um canal de comunicação criptografado entre iOS, iPadOS e macOS e serviços empresariais.
Você também pode definir a versão mínima e máxima de TLS do payload de rede 802.1X com EAP-TLS, EAP-TTLS, PEAP e EAP-FAST. Por exemplo, você pode ajustar:
Os dois para a mesma versão TLS específica
A versão mínima de TLS para um valor mais baixo e a versão máxima de TLS para um valor mais alto, o que seria então negociado com o servidor RADIUS
Um valor nulo, que permitiria ao requerente 802.1X negociar a versão TLS com o servidor RADIUS
O iOS, iPadOS e o macOS requerem que o certificado de folha do servidor seja assinado com a família de algoritmos de assinatura SHA-2 e use uma chave RSA de, no mínimo, 2048 bits, ou uma chave ECC de, no mínimo, 256 bits.
O iOS 11, iPadOS 13.1 e macOS 10.13, ou posterior, adicionam suporte a TLS 1.2 na autenticação 802.1X. Servidores de autenticação que oferecem suporte a TLS 1.2 podem exigir as seguintes atualizações de compatibilidade:
Cisco: ISE 2.3.0
FreeRADIUS: atualize para a versão 2.2.10 e 3.0.16.
Aruba ClearPass: atualize para a versão 6.6.x.
ArubaOS: atualize para a versão 6.5.3.4.
Microsoft: Windows Server 2012 - Network Policy Server.
Microsoft: Windows Server 2016 - Network Policy Server.
Para obter mais informações sobre 802.1X, consulte Conectar dispositivos Apple a redes 802.1X.
WPA2/WPA3
Todas as plataformas Apple são compatíveis com autenticação Wi-Fi de padrão industrial e protocolos de criptografia, a fim de fornecer acesso autenticado e sigilo ao conectar-se com as seguintes redes seguras sem fio:
WPA2 Pessoal
WPA2 Empresarial
WPA2/WPA3 Transicional
WPA3 Pessoal
WPA3 Empresarial
WPA3 Empresarial ou com segurança de 192 bits
Para visualizar uma lista de protocolos de autenticação de conexão sem fio 802.1X, consulte Configurações 802.1X para Mac.
Criptografia do FaceTime e iMessage
O iOS, o iPadOS e o macOS criam um ID único para cada usuário do FaceTime e iMessage, ajudando a garantir a criptografia, o roteamento e a conexão adequados das comunicações.