Omówienie VPN we wdrożeniach urządzeń Apple
Bezpieczny dostęp do prywatnych sieci korporacyjnych w systemach iOS, iPadOS, macOS, tvOS, watchOS i visionOS możliwy jest dzięki użyciu zgodnych ze standardami branżowymi protokołów wirtualnej sieci prywatnej (VPN).
Obsługiwane protokoły
Systemy iOS, iPadOS, macOS, tvOS, watchOS i visionOS obsługują następujące protokoły i metody uwierzytelniania:
IKEv2: Obsługuje IPv4, IPv6 oraz poniższe:
Metody uwierzytelniania: Hasło współdzielone, certyfikaty, EAP‑TLS oraz EAP‑MSCHAPv2
Kryptografia Suite B: Certyfikaty ECDSA, szyfrowanie ESP przy użyciu GCM oraz grupy ECP dla grupy Diffiego‑Hellmana
Dodatkowe funkcje: MOBIKE, fragmentacja IKE, przekierowanie serwera, split tunneling
Systemy iOS, iPadOS, macOS i visionOS obsługują także następujące protokoły i metody uwierzytelniania:
L2TP przez IPsec: Uwierzytelnianie użytkownika przy użyciu hasła MS‑CHAPv2, tokenu dwuskładnikowego, certyfikatu, uwierzytelnianie urządzenia przy użyciu hasła współdzielonego lub certyfikatu
Podczas korzystania z protokołu L2TP przez IPsec, system macOS może także korzystać z uwierzytelniania Kerberos przy użyciu hasła współdzielonego lub certyfikatu.
IPsec: Uwierzytelnianie użytkownika przy użyciu hasła, tokenu dwuskładnikowego, uwierzytelnianie urządzenia przy użyciu hasła współdzielonego i certyfikatów
Jeśli Twoja organizacja obsługuje te protokoły, łączenie urządzeń Apple z wirtualną siecią prywatną nie wymaga dodatkowej konfiguracji sieci ani korzystania z aplikacji innych producentów.
Obsługa obejmuje także takie technologie, jak IPv6, serwery proxy i dzielone tunelowanie (split tunelling). Dzielone tunelowanie zapewnia sprawne działanie sieci VPN podczas łączenia z sieciami organizacji.
Dodatkowo szablon roboczy Network Extension umożliwia deweloperom tworzenie własnych rozwiązań VPN dla systemów iOS, iPadOS, macOS, tvOS i visionOS. Niektórzy dostawcy usług VPN oferują aplikacje pomagające skonfigurować urządzenia Apple do współpracy z ich usługami. Aby skonfigurować urządzenie do obsługi określonego rozwiązania, zainstaluj aplikację udostępnianą przez dostawcę, a następnie (opcjonalnie) utwórz profil konfiguracji z niezbędnymi ustawieniami.
VPN na żądanie
W systemach iOS, iPadOS, macOS i tvOS dostępna jest funkcja VPN na żądanie, która pozwala urządzeniom Apple na automatyczne nawiązywanie połączenia VPN w razie potrzeby. Wymaga ona metody uwierzytelniania nieobejmującej interakcji z użytkownikiem — na przykład uwierzytelniania opartego o certyfikaty. Funkcja VPN na żądanie jest konfigurowana przy użyciu klucza OnDemandRules w pakiecie danych VPN w profilu konfiguracyjnym. Reguły stosowane są w dwóch etapach:
Etap wykrywania sieci: Definiuje wymaganie połączenia VPN stosowane po wykryciu zmiany podstawowego połączenia urządzenia z siecią.
Etap sprawdzania połączenia: Definiuje wymaganie połączenia VPN dla nazw domen wymagających takiego połączenia.
Reguły mogą wykonywać między innymi następujące czynności:
Rozpoznawanie, kiedy urządzenie Apple połączone jest z siecią wewnętrzną i używanie VPN nie jest konieczne
Rozpoznawanie, kiedy używana jest nieznana sieć Wi‑Fi i używanie VPN jest wymagane
Uruchamianie połączenia VPN, gdy żądanie określonej domeny DNS nie powiedzie się
VPN dla aplikacji
Systemy iOS, iPadOS, macOS, watchOS i visionOS 1.1 umożliwiają nawiązywanie połączeń VPN przeznaczonych dla poszczególnych aplikacji, co zapewnia większą kontrolę nad danymi przesyłanymi przez VPN. Możliwość rozdzielania ruchu sieciowego na poziomie aplikacji umożliwia oddzielenie danych osobistych od danych organizacji, zapewniając w ten sposób bezpieczne połączenia sieciowe dla aplikacji używanych wewnętrznie, zachowując jednocześnie prywatność osobistych działań użytkownika.
VPN dla aplikacji pozwala każdej aplikacji zarządzanej przez rozwiązanie MDM na łączenie się z siecią prywatną przez bezpieczny tunel, jednocześnie uniemożliwiając aplikacjom niezarządzanym korzystanie z sieci prywatnej. Aplikacje zarządzane mogą zostać skonfigurowane do użycia różnych połączeń VPN, aby dodatkowo zwiększyć bezpieczeństwo danych. Na przykład aplikacja do obsługi sprzedaży może używać zupełnie innego centrum danych, niż aplikacja do zarządzania rachunkowością.
Po utworzeniu funkcji VPN dla aplikacji w dowolnej konfiguracji VPN należy także powiązać to połączenie z aplikacjami używającymi go do zabezpieczania ruchu sieciowego. Czynność ta wykonywana jest przy użyciu odwzorowań w pakiecie danych VPN dla aplikacji (macOS) lub przez podanie konfiguracji VPN w poleceniu instalacji aplikacji (iOS, iPadOS, macOS, visionOS 1.1).
Funkcja VPN dla aplikacji może zostać skonfigurowana do współpracy z wbudowanym do systemów iOS, iPadOS, watchOS i visionOS 1.1 klientem VPN IKEv2. Aby uzyskać informacje dotyczące obsługi funkcji VPN dla aplikacji w innych rozwiązaniach VPN należy skontaktować się z dostawcą danego rozwiązania VPN.
Uwaga: Aby aplikacja w systemie iOS, iPadOS, watchOS 10 lub visionOS 1.1 mogła używać funkcji VPN dla aplikacji, musi być zarządzana przez rozwiązanie MDM.
VPN Always-On
Dostępna dla protokołu IKEv2 funkcja VPN Always-On zapewnia organizacji pełną kontrolę nad ruchem w sieci generowanym przez urządzenia iOS i iPadOS, umożliwiając tunelowanie całego ruchu IP do organizacji. Organizacja może monitorować i filtrować ruch do i z urządzeń, zabezpieczać dane w sieci, a także ograniczać dostęp urządzeń do Internetu.
Aktywacja funkcji VPN Always-On wymaga urządzenia nadzorowanego. Gdy profil VPN Always-On zostanie zainstalowany na urządzeniu, funkcja VPN Always-On jest aktywowana automatycznie (bez udziału użytkownika) i pozostaje aktywna do momentu odinstalowania profilu VPN Always On (ponowne uruchomienie urządzenia nie wyłącza tej funkcji).
Po uaktywnieniu funkcji VPN Always-On na urządzeniu tworzenie i usuwanie tuneli VPN zależy od statusu IP interfejsu. Gdy interfejs uzyskuje dostępność do sieci IP, próbuje utworzyć tunel. Gdy interfejs traci połączenie z siecią IP, tunel jest usuwany.
Funkcja VPN Always-On obsługuje również tunele dla określonych interfejsów. W przypadku urządzeń obsługujących połączenia przez sieć komórkową istnieje jeden tunel dla każdego aktywnego interfejsu IP (jeden tunel dla interfejsu połączenia komórkowego i jeden tunel dla interfejsu Wi-Fi). Gdy tunele VPN są utworzone, cały ruch sieciowy jest przez nie przesyłany. Ruch ten obejmuje pakiety kierowane przez i na adresy IP (ruch sieciowy z oryginalnych aplikacji, takich jak FaceTime i Wiadomości). Jeśli tunele nie są utworzone, cały ruch w sieci IP jest odrzucany.
Cały ruch sieciowy tunelowany z urządzenia trafia do serwera VPN. Można stosować opcjonalne filtrowanie i monitorowanie przed przekazaniem ruchu sieciowego do miejsc docelowych wewnątrz sieci należącej do organizacji lub do Internetu. Analogicznie, ruch sieciowy do urządzenia przekazywany jest przez należący do organizacji serwer VPN. Na serwerze tym mogą być stosowane procesy filtrowania i monitorowania ruchu sieciowego przed przekazaniem go do urządzenia.
Uwaga: Łączenie w parę Apple Watch przy użyciu funkcji VPN Always-On nie jest obsługiwane.
Przechwytujące serwery proxy
Przechwytujące serwery proxy to specjalny typ VPN w systemie macOS. Mogą być one używane w różny sposób do monitorowania i modyfikowania ruchu sieciowego. Typowe zastosowania to rozwiązania filtrowania zawartości oraz brokery dostępu do usług w chmurze. Ze względu na różne zastosowania dobrym pomysłem jest zdefiniowanie kolejności, w jakiej te serwery proxy mają widzieć i obsługiwać ruch sieciowy. Na przykład, serwer proxy filtrujący ruch sieciowy powinien działać przed serwerem proxy szyfrującym ruch sieciowy. Kolejność tę można zdefiniować przy użyciu pakietu danych VPN.