Oversigt over VPN til implementering af Apple-enheder
Sikker adgang til private virksomhedsnetværk er muligt med iOS, iPadOS, macOS, tvOS, watchOS og visionOS ved hjælp af etablerede standardprotokoller til virtuelle private netværk (VPN).
Understøttede protokoller
iOS, iPadOS, macOS, tvOS, watchOS og visionOS understøtter følgende protokoller og godkendelsesmetoder:
IKEv2: Understøtter både IPv4 og IPv6 og følgende:
Godkendelsesmetoder: Nøgle (Shared Secret), certifikater, EAP-TLS og EAP-MSCHAPv2
Suite B-kryptografi: ECDSA-certifikater, ESP-kryptering med GCM- og ECP-grupper til Diffie-Hellman Group
Yderligere funktioner: MOBIKE, IKE-fragmentering, serveromdirigering, opdelt kanal (“split tunnel”)
iOS, iPadOS, macOS og visionOS understøtter også følgende protokoller og godkendelsesmetoder:
L2TP over IPsec: Brugergodkendelse med MS-CHAP v2-adgangskode, token med to faktorer, certifikat, maskingodkendelse med nøgle (shared secret) eller certifikat
macOS kan også bruge Kerberos-maskingodkendelse med nøgle eller certifikat med L2TP over IPsec.
IPsec: Brugergodkendelse med adgangskode, token med to faktorer og maskingodkendelse med nøgle (shared secret) og certifikater
Hvis din organisation understøtter disse protokoller, kræves der ingen yderligere netværkskonfiguration eller apps eller programmer fra tredjeparter for at forbinde Apple-enheder til VPN.
Understøttelsen omfatter teknologier som IPv6, proxyservere og opdelte kanaler. Opdelte kanaler giver en fleksibel VPN-oplevelse ved tilslutning til en organisations netværk.
Desuden giver Network Extension-frameworket tredjepartsudviklere mulighed for at oprette en speciel VPN-løsning til iOS, iPadOS, macOS, tvOS og visionOS. Flere VPN-udbydere har udviklet apps, som hjælper med at konfigurere Apple-enheder, så de kan bruges sammen med deres løsninger. Du kan konfigurere en enhed til en specifik løsning ved at installere udbyderens tilhørende app og eventuelt bruge en konfigurationsprofil med de nødvendige indstillinger.
VPNoD (VPN On Demand)
I iOS, iPadOS, macOS og tvOS gør VPN On Demand det muligt for Apple-enheder at oprette forbindelse automatisk, når de har brug for det. Det kræver en godkendelsesmetode, der ikke involverer brugerinteraktion – f.eks. certifikatbaseret godkendelse. VPN On Demand konfigureres ved hjælp nøglen OnDemandRules i VPN-dataene i en konfigurationsprofil. Reglerne anvendes i to trin:
Under registrering af netværk: I dette trin defineres de VPN-krav, som anvendes, når enhedens primære netværksforbindelse skifter.
Under evaluering af forbindelsen: I dette trin defineres VPN-kravene til anmodninger om forbindelse til domænenavne efter behov.
Der kan f.eks. bruges regler til følgende:
Registrere, når en Apple-enhed har forbindelse til et internt netværk, og VPN ikke er nødvendigt
Registrere, når der bruges et ukendt Wi-Fi-netværk, og der kræves VPN
Starte VPN, når en DNS-anmodning om et angivet domænenavn ikke giver et resultat
VPN til hver app
I iOS, iPadOS, macOS, watchOS og visionOS 1.1 kan der oprettes VPN-forbindelser til hver app. Det giver mere detaljeret kontrol over, hvilke data der går gennem VPN. Denne funktion til at adskille trafik på appniveau gør det muligt at adskille personlige data fra organisationens data – hvilket resulterer i sikker netværksforbindelse for apps til intern brug, samtidig med at anonymiteten af personlig enhedsaktivitet bevares.
VPN til hver app gør det muligt for hver enkelt app, som administreres af en løsning til administration af mobile enheder (MDM), at kommunikere med det private netværk via en sikker kanal og samtidig forhindre, at ikke-administrerede apps bruger det private netværk. Administrerede apps kan konfigureres med forskellige VPN-forbindelser for at øge beskyttelsen af data. For eksempel kan en salgstilbudsapp bruge et helt andet datacenter end en kreditorapp.
Når du har oprettet et VPN til hver app for alle VPN-konfigurationer, skal du knytte hver forbindelse til de apps, som bruger den, for at gøre netværkstrafikken sikker for disse apps. Det gør du med overførselsdata til VPN til hver app (macOS) eller ved at angive VPN-konfigurationen i installeringskommandoen til appen (iOS, iPadOS, macOS og visionOS 1.1).
VPN til hver app kan konfigureres til at arbejde sammen med den indbyggede IKEv2 VPN-klient i iOS, iPadOS, watchOS og visionOS 1.1. Du kan få oplysninger om understøttelse af VPN til hver app i specialtilpassede VPN-løsninger ved at kontakte dine VPN-leverandører.
Bemærk: Hvis en app skal kunne bruge VPN til hver app i iOS, iPadOS, watchOS 10 og visionOS 1.1, skal appen administreres af MDM.
Altid til-VPN
Altid til-VPN er tilgængelig for IKEv2 og giver din organisation fuld kontrol over iOS- og iPadOS-trafik, idet al IP-trafik kanaliseres tilbage til organisationen. Din organisation kan nu overvåge og filtrere trafik til og fra enheder, sikre data i netværket og begrænse enheders adgang til internettet.
Altid til-VPN kræver, at enheder er under tilsyn. Efter Altid til-VPN-profilen er installeret på en enhed, aktiveres Altid til-VPN automatisk, uden at brugeren skal gøre noget, og det bliver ved med at være aktiveret (også efter genstart), indtil Altid til-VPN-profilen fjernes.
Når Altid til-VPN er aktiveret på enheden, er oprettelse og afbrydelse af VPN-kanalen knyttet til grænsefladens IP-status. Når grænsefladen kan oprette forbindelse til IP-netværket, forsøger den at etablere en kanal. Når grænsefladens IP-status afbrydes, afbrydes kanalen også.
Altid til-VPN understøtter også kanaler for hver grænseflade. For enheder med forbindelse til mobilnetværk er der en kanal til hver aktiv IP-grænseflade (en kanal til grænsefladen til mobilnetværket og en kanal til Wi-Fi-grænsefladen). Så længe VPN-kanalerne er aktive, sendes al IP-trafik gennem kanalerne. Trafikken omfatter både IP-rutetrafik og IP-omfangstrafik (trafik fra apps som FaceTime og Beskeder). Hvis kanalerne ikke er aktive, overføres IP-trafik ikke.
Al trafik, der kanaliseres fra en enhed, når frem til en VPN-server. Du har mulighed for at anvende filtrerings- og overvågningsfunktioner, før trafikken sendes videre til dens modtager på organisationens netværk eller på internettet. På samme måde dirigeres trafik til enheden til organisationens VPN-server, hvor der kan blive foretaget filtrering og overvågning, før den sendes videre til enheden.
Bemærk: Apple Watch-pardannelse understøttes ikke med Altid til-VPN.
Transparent proxyserver
Transparente proxyservere i macOS er af en særlig VPN-type og kan bruges på forskellige måder til at overvåge og ændre netværkstrafikken. Almindelige brugsscenarier er løsninger til indholdsfiltre og mæglere til at få adgang til netskytjenester. På grund af de mange anvendelser et det en god idé at definere den rækkefølge, proxyserverne kan se og håndtere trafikken. Du vil f.eks. helst starte proxyfiltrerende netværkstrafik, før du starter en proxyserver, som krypterer trafikken. Det gør du ved at definere rækkefølgen i dataene i VPN.