Функции безопасности при подключении к беспроводным сетям
Все платформы Apple поддерживают стандартные протоколы аутентификации и шифрования Wi-Fi для обеспечения аутентификации и конфиденциальности при подключении к защищенным беспроводным сетям, перечисленным далее.
Личный WPA2
Корпоративный WPA2
Переходный WPA2/WPA3
Личный WPA3
Корпоративный WPA3
Корпоративный WPA3 со 192‑битным ключом
WPA2 и WPA3 выполняют аутентификацию каждого подключения и обеспечивают 128-битное шифрование AES, чтобы способствовать конфиденциальной передаче данных по беспроводной сети. Это гарантирует высочайший уровень защиты при отправке или получении пользовательских данных по сети Wi-Fi.
Поддержка WPA3
WPA3 поддерживается в следующих устройствах Apple:
все модели iPhone начиная с iPhone 7 и новее;
все модели iPad начиная с iPad 5‑го поколения и новее;
все модели компьютеров Mac (впервые выпущенные в конце 2013 г. и позже, с 802.11ac и новее);
все модели Apple TV начиная с Apple TV 4K и новее;
все модели Apple Watch начиная с Apple Watch Series 3 и новее;
Apple Vision Pro;
все модели HomePod.
Более новые устройства поддерживают аутентификацию по протоколу «Корпоративный WPA3 со 192-битным ключом», который включает 256-битное шифрование AES при подключении к совместимым точкам беспроводного доступа. Это шифрование обеспечивает еще более надежную защиту конфиденциальности при передаче трафика по беспроводной сети. Корпоративный WPA3 со 192-битным ключом поддерживается на всех моделях iPhone 11 и новее, на всех моделях iPad 7‑го поколения и новее, а также на всех компьютерах Mac с чипом Apple.
WPA3 R3
Обновление R3 для личного WPA3 (WPA R3) было выпущено для повышения безопасности и конфиденциальности Wi‑Fi, в особенности, для устранения определенных уязвимостей при установлении связи между устройствами. На платформах Apple поддерживаются следующие функции:
индикация завершенного перехода;
поддержка метода Hash-To‑Element (H2E) и быстрого перехода на H2E;
противодействие групповым атакам через понижение версии;
контейнер для токенов, препятствующий появлению заторов.
Эти улучшения направлены на защиту от атак через понижение версии (например, индикация завершенного перехода) и генерации элементов паролей (например, использование метода Hash-To‑Element, в котором секретный ключ создается посредством алгебраического алгоритма без итераций — этот метод безопаснее, чем случайный выбор символов). Эти функции WPA3 R3 впервые представлены в iOS 16, iPadOS 16, macOS 13 и tvOS 16. Они поддерживаются на следующих устройствах Apple:
все модели iPhone начиная с iPhone 11 и новее;
все модели iPad, впервые выпущенные в 2020 г. и позже;
все модели компьютеров Mac, впервые выпущенные в 2020 г. и позже;
все модели Apple TV начиная с Apple TV 4K (2‑го поколения) и новее.
Поддержка защищенных кадров управления
В дополнение к защите данных, передаваемых по беспроводной сети, платформы Apple распространяют средства защиты WPA2 и WPA3 на одноадресные и многоадресные кадры управления, используя для этого службу защищенных кадров управления (PMF), описанную в стандарте 802.11w. Поддержка PMF доступна в следующих устройствах Apple:
все модели iPhone начиная с iPhone 6 и новее;
все модели iPad начиная с iPad Air 2 и новее;
все модели компьютеров Mac (впервые выпущенные в конце 2013 г. и позже, с 802.11ac и новее);
все модели Apple TV начиная с Apple TV HD и новее;
все модели Apple Watch начиная с Apple Watch Series 3 и новее;
Apple Vision Pro;
все модели HomePod.
Благодаря поддержке 802.1X устройства Apple можно интегрировать в широкий набор сред, где используется аутентификация RADIUS. Поддерживаемые методы аутентификации в беспроводных сетях 802.1X включают EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0 и PEAPv1.
Средства защиты платформы
Операционные системы Apple обеспечивают защиту устройства от уязвимостей в прошивке сетевого процессора. Это означает, что сетевым контроллерам с Wi-Fi предоставляется ограниченный доступ к памяти процессора приложений. Каждый из сетевых процессоров подключен к собственной изолированной шине PCIe. Модуль управления памятью ввода-вывода (IOMMU) на каждой шине PCIe дополнительно предоставляет сетевому процессору прямой доступ только к блокам памяти и ресурсам, содержащим его сетевые пакеты или управляющие структуры.
Устаревшие протоколы
Продукты Apple поддерживают следующие устаревшие протоколы аутентификации и шифрования Wi-Fi:
открытый WEP с 40-битными и 104-битными ключами;
WEP общего доступа с 40-битными и 104-битными ключами;
динамический WEP;
протокол целостности временного ключа (TKIP);
WPA;
переходный WPA/WPA2.
Эти протоколы больше не считаются безопасными. Их использование крайне не рекомендовано из соображений совместимости, надежности, производительности и безопасности. Они поддерживаются только для обеспечения обратной совместимости и могут быть исключены из будущих версий программного обеспечения.
Все сети Wi-Fi настоятельно рекомендуется перевести на Личный WPA3 или Корпоративный WPA3, чтобы обеспечить максимальную надежность, безопасность и совместимость подключений Wi-Fi.