Ingebouwde functies voor netwerkbeveiliging gebruiken voor Apple apparaten
In Apple apparaten zijn technologieën voor netwerkbeveiliging ingebouwd waarmee gebruikers worden geautoriseerd en hun gegevens tijdens de overdracht worden beveiligd. Apple apparaten ondersteunen de volgende methoden voor netwerkbeveiliging:
Ingebouwd: IPsec, IKEv2, L2TP
Aangepast VPN via App Store-apps (iOS, iPadOS, visionOS)
Aangepast VPN via VPN-clients van derden (macOS)
Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) en DTLS
SSL/TLS met X.509-certificaten
WPA/WPA2/WPA3 op bedrijfsniveau met 802.1x
Authenticatie op basis van certificaten
Authenticatie via gedeeld geheim en Kerberos
RSA SecurID, CRYPTOCard (macOS)
Netwerkdoorgifte in iOS, iPadOS, macOS en tvOS
De ingebouwde doorgiftefunctie in iOS 17, iPadOS 17, macOS 14 en tvOS 17 of nieuwer kan worden gebruikt om verkeer te beveiligen via een versleutelde HTTP/3- of HTTP/2-verbinding als een alternatief voor VPN. Een netwerkdoorgiftefunctie is een speciale proxy die is geoptimaliseerd voor hoge prestaties en die gebruikmaakt van de nieuwste transport- en beveiligingsprotocollen. Netwerkdoorgifte kan worden gebruikt om het TCP- en UDP-verkeer van een specifieke app, een heel apparaat of interne bronnen te beveiligen. Er kunnen meerdere doorgiftefuncties naast elkaar worden gebruikt, inclusief 'Privédoorgifte in iCloud', zonder dat daarvoor een app nodig is. Zie Netwerkdoorgifte gebruiken voor meer informatie.
VPN en IPsec
In veel bedrijfsomgevingen wordt een VPN (Virtual Private Network) gebruikt. Voor deze VPN-voorzieningen zijn meestal minimale instellingen en configuratiestappen nodig om ze met Apple apparaten te laten werken, aangezien die met diverse veelgebruikte VPN-technologieën kunnen worden geïntegreerd.
iOS, iPadOS, macOS, tvOS, watchOS en visionOS ondersteunen IPsec-protocollen en -authenticatiemethoden. Zie Overzicht van VPN voor meer informatie.
TLS
Het gebruik van het cryptografische SSL 3-protocol en de symmetrische Cipher Suite RC4 wordt vanaf iOS 10 en macOS 10.12 niet meer ondersteund. Bij TLS-clients of -servers waarvoor Secure Transport-API's zijn geïmplementeerd, zijn RC4-suites standaard uitgeschakeld. Daarom kunnen ze geen verbinding maken wanneer RC4 de enige beschikbare Cipher Suite is. Met het oog op de veiligheid is het raadzaam om voorzieningen of apps waarvoor RC4 nodig is te upgraden, zodat Cipher Suites kunnen worden gebruikt.
Verdere verbeteringen op beveiligingsgebied zijn onder andere:
Vereiste ondertekening van SMB-verbindingen (macOS)
In macOS 10.12 en nieuwer wordt AES ondersteund als encryptiemethode voor NFS met Kerberos-beveiliging (macOS)
Transport Layer Security (TLS 1.2, TLS 1.3)
TLS 1.2 ondersteunt AES 128 en SHA-2.
SSL 3 (iOS, iPadOS, visionOS)
DTLS (macOS)
Voor Safari, Agenda, Mail en andere internetapps worden deze protocollen gebruikt om een versleuteld communicatiekanaal op te zetten tussen iOS, iPadOS, macOS of visionOS en bedrijfsvoorzieningen.
Je kunt ook de minimale en maximale TLS-versie instellen voor de 802.1X-netwerkpayload met EAP-TLS, EAP-TTLS, PEAP en EAP-FAST. Je kunt bijvoorbeeld het volgende doen:
Je kunt zowel de minimale als de maximale versie instellen op dezelfde TLS-versie.
Je kunt de minimumversie van TLS instellen op een lagere waarde en de maximumversie van TLS instellen op een hogere waarde, die vervolgens overeen wordt gekomen met de RADIUS-server.
Je kunt de waarde 'geen' instellen, zodat de 802.1X-supplicant de TLS-versie overeen kan komen met de RADIUS-server.
Voor iOS, iPadOS, macOS en visionOS moet het leaf-certificaat van de server worden ondertekend met een handtekeningalgoritme uit de SHA-2-familie en moet een RSA-sleutel van ten minste 2048 bits of een ECC-sleutel van ten minste 256 bits worden gebruikt.
In iOS 11, iPadOS 13.1, macOS 10.13 en visionOS 1.1 of nieuwer is ondersteuning toegevoegd voor TLS 1.2 bij 802.1X-authenticatie. Voor compatibiliteit met de onderstaande producten kan het nodig zijn om de volgende updates uit te voeren voor authenticatieservers die ondersteuning bieden voor TLS 1.2:
Cisco: ISE 2.3.0
FreeRADIUS: Voer een update uit naar versie 2.2.10 en 3.0.16.
Aruba ClearPass: Voer een update uit naar versie 6.6.x.
ArubaOS: Voer een update uit naar versie 6.5.3.4.
Microsoft: Windows Server 2012 - Network Policy Server.
Microsoft: Windows Server 2016 - Network Policy Server.
Zie Apple apparaten verbinden met 802.1X-netwerken voor meer informatie over 802.1X.
WPA2/WPA3
Alle Apple platforms ondersteunen standaardprotocollen voor wifi-authenticatie en -encryptie om geauthenticeerde toegang en gegevensbescherming te bieden bij verbindingen met de volgende beveiligde draadloze netwerken:
WPA2 - persoonlijk
WPA2 - bedrijfsniveau
WPA2/WPA3 - transitiemodus
WPA3 - persoonlijk
WPA3 - bedrijfsniveau
WPA3 - bedrijfsniveau met 192-bits beveiliging
Zie 802.1X-configuraties voor de Mac voor een lijst met draadloze 802.1X-authenticatieprotocollen.
Encryptie voor FaceTime en iMessage
In iOS, iPadOS, macOS en visionOS wordt voor iedere FaceTime- en iMessage-gebruiker een unieke ID aangemaakt, zodat alle communicatie op de juiste manier wordt versleuteld, verstuurd en afgeleverd.