Používanie vstavaných funkcií sieťovej bezpečnosti pre Apple zariadenia
Apple zariadenia sú vybavené vstavanými technológiami sieťovej bezpečnosti, ktoré počas prenosu dát autorizujú užívateľov a pomáhajú chrániť ich dáta. Podpora sieťovej bezpečnosti pre Apple zariadenia obsahuje:
Vstavané IPsec, IKEv2, L2TP
Vlastné VPN cez apky z App Storu (iOS a iPadOS)
Vlastné VPN cez VPN klientov tretích strán (macOS)
Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) a DTLS
SSL/TLS s certifikátmi X.509
WPA/WPA2/WPA3 Enterprise s 802.1X
Autentifikácia na báze certifikátov
Zdieľaný kľúč a autentifikácia cez Kerberos
RSA SecurID, CRYPTOCard (macOS)
Sieťové prenosy v iOS, iPadOS, macOS a tvOS
Na zabezpečenie prenosov pomocou šifrovaného pripojenia cez HTTP/3 alebo HTTP/2 možno v systémoch iOS 17, iPadOS 17, macOS 14 a tvOS 17 alebo novších použiť ako alternatívne VPN vstavanú službu prenosu. Služba prenosu je špeciálny typ proxy optimalizovaný pre výkon, ktorý používa najnovšie protokoly prenosu a zabezpečenia. Možno ho použiť na zabezpečenie prenosov cez TCP a UDP pre jednotlivé apky, celé zariadenie a prístup k interným prostriedkom. Je možné prevádzkovať viacero služieb sieťového prenosu súčasne (vrátane Súkromného prenosu cez iCloud) bez toho, aby bolo nutné použiť nejakú apku. Viac informácií nájdete v téme Používanie sieťových prenosov.
VPN a IPsec
Mnoho podnikov používa nejakú formu virtuálnej privátnej siete (VPN). Pre tieto VPN služby väčšinou stačí na spoluprácu s Apple zariadeniami minimálne nastavenie a konfigurácia, keďže tieto zariadenia sa integrujú s mnohými bežne používanými technológiami VPN.
Systémy iOS, iPadOS, macOS, tvOS a watchOS podporujú protokoly a spôsoby overenia štandardu IPsec. Ďalšie informácie nájdete v prehľade VPN.
TLS
Kryptografický protokol SSL 3 a symetrická šifrovacia sústava RC4 už viac nie sú podporované v systémoch iOS 10 a macOS 10.12. V predvolenom nastavení TLS klienti a servery implementované pomocou Secure Transport API nemajú povolené šifrovacie sústavy RC4. Z toho dôvodu sa nedokážu pripojiť, keď je šifrovacia sústava RC4 jedinou dostupnou súpravou. S cieľom zvýšenia bezpečnosti je nutné služby alebo apky, ktoré vyžadujú RC4, upgradovať a povoliť tak šifrovacie sústavy.
Patria sem aj ďalšie vylepšenia zabezpečenia:
Povinné podpisovanie pripojení SMB (macOS)
Podpora metódy šifrovania AES pre systém NFS s protokolom Kerberos v systéme macOS 10.12 alebo novšom (macOS)
Transport Layer Security (TLS 1.2, TLS 1.3)
TLS 1.2 podporuje AES 128 aj SHA-2.
SSL 3 (iOS a iPadOS)
DTLS (macOS)
Safari, Kalendár, Mail a ďalšie internetové apky ich využívajú na povolenie šifrovaného komunikačného kanála medzi podnikovými službami a systémami iOS, iPadOS a macOS.
Okrem toho môžete nastaviť minimálnu a maximálnu verziu TLS pre svoj sieťový objem dát 802.1X s EAP-TLS, EAP-TTLS, PEAP a EAP-FAST. Môžete napríklad nastaviť:
Oba na rovnakú konkrétnu verziu TLS
Minimálnu verziu TLS na nižšiu hodnotu a maximálnu verziu TLS na vyššiu hodnotu s následným vyjednaním konkrétnej verzie so serverom RADIUS
Hodnotu none – žiadateľ 802.1X potom verziu TLS vyjedná so serverom RADIUS
Systémy iOS, iPadOS a macOS vyžadujú, aby bol listový certifikát servera podpísaný pomocou rodiny podpisových algoritmov SHA-2 a aby používal buď kľúč RSA s minimálne 2048 bitmi, alebo kľúč ECC s minimálne 256 bitmi.
Systémy iOS 11, iPadOS 13.1 a macOS 10.13 alebo novšie pridávajú v autentifikácii 802.1X podporu pre TLS 1.2. Autentifikačné servery, ktoré podporujú TLS 1.2, môžu vyžadovať nasledujúce aktualizácie kvôli kompatibilite:
Cisco: ISE 2.3.0
FreeRADIUS: Aktualizácia na verziu 2.2.10 a 3.0.16.
Aruba ClearPass: Aktualizácia na verziu 6.6.x.
ArubaOS: Aktualizácia na verziu 6.5.3.4.
Microsoft: Windows Server 2012 - Network Policy Server.
Microsoft: Windows Server 2016 - Network Policy Server.
Ďalšie informácie o 802.1X nájdete v téme Pripojenie Apple zariadení k sieťam 802.1X.
WPA2/WPA3
Všetky platformy spoločnosti Apple podporujú autentifikačné a šifrovacie Wi-Fi protokoly na úrovni odvetvových štandardov, ktoré poskytujú overený prístup a utajenie pri pripájaní k nasledujúcim zabezpečeným bezdrôtovým sieťam:
WPA2 Personal
WPA2 Enterprise
WPA2/WPA3 Transitional
WPA3 Personal
WPA3 Enterprise
WPA3 Enterprise so 192-bitovým zabezpečením
Zoznam bezdrôtových autentifikačných protokolov 802.1X nájdete v témach 802.1X konfigurácie pre Mac.
Šifrovanie FaceTime a iMessage
iOS, iPadOS a macOS vytvárajú unikátne ID pre každého užívateľa FaceTimu a iMessage a zaisťujú tak, že komunikácia je správne šifrovaná, nasmerovaná a pripojená.