Безопасный доступ к беспроводным сетям
Все платформы Apple поддерживают стандартные протоколы аутентификации и шифрования Wi-Fi для обеспечения аутентификации и конфиденциальности при подключении к защищенным беспроводным сетям, перечисленным далее.
Личный WPA2
Корпоративный WPA2
Переходный WPA2/WPA3
Личный WPA3
Корпоративный WPA3
Корпоративный WPA3 со 192-битным ключом
WPA2 и WPA3 выполняют аутентификацию каждого подключения и обеспечивают 128-битное шифрование AES, чтобы способствовать конфиденциальной передаче данных по беспроводной сети. Это гарантирует высочайший уровень защиты при отправке или получении пользовательских данных по сети Wi-Fi.
Поддержка WPA3
WPA3 поддерживается в следующих устройствах Apple:
iPhone 7 или новее;
iPad 5-го поколения и новее;
Apple TV 4K и новее;
Apple Watch Series 3 и новее;
компьютеры Mac (выпущенные в конце 2013 г. и позже, с 802.11ac и новее).
Более новые устройства поддерживают аутентификацию по протоколу «Корпоративный WPA3 со 192-битным ключом», который включает 256-битное шифрование AES при подключении к совместимым точкам беспроводного доступа. Это шифрование обеспечивает еще более надежную защиту конфиденциальности при передаче трафика по беспроводной сети. Корпоративный WPA3 со 192-битным ключом поддерживается на всех моделях iPhone 11 или новее, на всех моделях iPad 7-го поколения и новее, а также на компьютерах Mac с чипом Apple.
Поддержка PMF
В дополнение к защите данных, передаваемых по беспроводной сети, платформы Apple распространяют средства защиты WPA2 и WPA3 на одноадресные и многоадресные кадры управления, используя для этого службу защищенных кадров управления (PMF), описанную в стандарте 802.11w. Поддержка PMF доступна в следующих устройствах Apple:
iPhone 6 и новее;
iPad Air 2 и новее;
Apple TV HD и новее;
Apple Watch Series 3 и новее;
компьютеры Mac (выпущенные в конце 2013 г. и позже, с 802.11ac и новее).
Благодаря поддержке 802.1X устройства Apple можно интегрировать в широкий набор сред, где используется аутентификация RADIUS. Поддерживаемые методы аутентификации в беспроводных сетях 802.1X включают EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0 и PEAPv1.
Средства защиты платформы
Операционные системы Apple обеспечивают защиту устройства от уязвимостей в прошивке сетевого процессора. Это означает, что сетевым контроллерам с Wi-Fi предоставляется ограниченный доступ к памяти процессора приложений.
Когда для соединения с сетевым процессором используется USB или SDIO (безопасный цифровой ввод-вывод), сетевой процессор не может инициировать транзакции прямого доступа к памяти процессора приложений.
Когда используется PCIe, каждый из сетевых процессоров подключен к собственной изолированной шине PCIe. Модуль управления памятью ввода-вывода (IOMMU) на каждой шине PCIe дополнительно ограничивает прямой доступ сетевого процессора, предоставляя его только к блокам памяти и ресурсам, содержащим его сетевые пакеты или управляющие структуры.
Устаревшие протоколы
Продукты Apple поддерживают следующие устаревшие протоколы аутентификации и шифрования Wi-Fi:
открытый WEP с 40-битными и 104-битными ключами;
WEP общего доступа с 40-битными и 104-битными ключами;
динамический WEP;
протокол целостности временного ключа (TKIP);
WPA;
переходный WPA/WPA2.
Эти протоколы больше не считаются безопасными. Их использование крайне не рекомендовано из соображений совместимости, надежности, производительности и безопасности. Они поддерживаются только для обеспечения обратной совместимости и могут быть исключены из будущих версий программного обеспечения.
Все сети Wi-Fi настоятельно рекомендуется перевести на Личный WPA3 или Корпоративный WPA3, чтобы обеспечить максимальную надежность, безопасность и совместимость подключений Wi-Fi.