Używanie wbudowanych zabezpieczeń sieciowych na urządzeniach Apple
Urządzenia Apple zawierają wbudowane technologie zabezpieczeń sieciowych, które pozwalają na uwierzytelnianie użytkowników i pomagają chronić ich dane podczas przesyłania. Zabezpieczenia sieciowe urządzeń Apple obsługują między innymi:
Wbudowane protokoły IPsec, IKEv2, L2TP
Własne rozwiązania VPN przy użyciu aplikacji z App Store (iOS, iPadOS, visionOS)
Własny VPN przy użyciu klientów VPN innych firm (macOS)
Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) oraz DTLS
SSL/TLS z certyfikatami X.509
WPA/WPA2/WPA3 Enterprise z 802.1X
Uwierzytelnianie oparte na certyfikatach
Hasło współdzielone i uwierzytelnianie Kerberos
RSA SecurID, CRYPTOCard (macOS)
Przekaźniki sieci w systemach iOS, iPadOS, macOS i tvOS
Wbudowany przekaźnik w systemie iOS 17, iPadOS 17, macOS 14 oraz tvOS 17 lub nowszym może być używany do zabezpieczania ruchu przy użyciu szyfrowanego połączenia HTTP/3 lub HTTP/2 jako alternatywa dla sieci VPN. Przekaźnik sieciowy to specjalny rodzaj serwera proxy, zoptymalizowany pod kątem wydajności, używający najnowszych protokołów przesyłania danych i zabezpieczeń. Za jego pomocą można zabezpieczać ruch sieciowy TCP i UDP danej aplikacji, całego urządzenia oraz podczas uzyskiwania dostępu do zasobów wewnętrznych. Równolegle może być używanych wiele przekaźników sieciowych, w tym usługa Przekazywanie prywatne iCloud — bez konieczności korzystania z dodatkowych aplikacji. Aby uzyskać więcej informacji, zobacz: Używanie przekaźników sieciowych.
VPN oraz IPsec
Wiele środowisk korporacyjnych korzysta z jakiejś formy wirtualnej sieci prywatnej (VPN). Urządzenia Apple integrują się z większością popularnych technologii VPN, więc współpraca tych usług z urządzeniami Apple wymaga zwykle minimalnej konfiguracji.
Systemy iOS, iPadOS, macOS, tvOS, watchOS i visionOS obsługują protokoły IPsec i metody uwierzytelniania. Aby uzyskać więcej informacji, zobacz: Omówienie VPN.
TLS
Protokół szyfrowania SSL 3 oraz zestaw szyfrów symetrycznych RC4 uznane zostały w systemach iOS 10 i macOS 10.12 za przestarzałe. Domyślnie klienty TLS oraz serwery z zaimplementowanymi API Secure Transport nie mają włączonych zestawów szyfrów RC4. Z tego powodu nie mogą nawiązać połączenia, gdy jedynym dostępnym zestawem szyfrów jest RC4. W celu zwiększenia bezpieczeństwa usługi oraz aplikacje wymagające RC4 powinny zostać uaktualnione, aby obsługiwały zestawy szyfrów.
Dodatkowe ulepszenia bezpieczeństwa:
Wymagane podpisywanie połączeń SMB (macOS)
macOS 10.12 (lub nowszy) obsługuje AES jako metodę szyfrowania podczas korzystania z NFS używającego protokołu Kerberos (macOS)
Transport Layer Security (TLS 1.2, TLS 1.3)
TLS 1.2 obsługuje AES 128 oraz SHA‑2
SSL 3 (iOS, iPadOS, visionOS)
DTLS (macOS)
Protokoły te używane są przez Safari, Kalendarz, Poczta i inne aplikacje korzystające z Internetu, aby zapewniać szyfrowany kanał komunikacji między systemem iOS, iPadOS, macOS oraz visionOS i usługami korporacyjnymi.
Możesz także określić minimalną i maksymalną wersję protokołu TLS dla pakietu danych sieci 802.1X z EAP‑TLS, EAP‑TTLS, PEAP i EAP‑FAST. Na przykład, możesz:
ustawić obie wartości na tę samą, określoną wersję protokołu TLS,
ustawić minimalną wersję protokołu TLS na niższą wartość, a maksymalną wersję tego protokołu na wyższą wartość — będą one używane podczas negocjacji z serwerem RADIUS,
nie podawać żadnej wartości, co pozwoli klientowi 802.1X na dowolne negocjowanie z serwerem RADIUS wersji protokołu TLS.
Systemy iOS, iPadOS, macOS oraz visionOS wymagają, aby certyfikat liść serwera był podpisany przy użyciu algorytmów SHA‑2 i klucza RSA o długości co najmniej 2048 bitów lub klucza ECC o długości co najmniej 256 bitów.
iOS 11, iPadOS 13.1, macOS 10.13 oraz visionOS 1.1, lub nowsze, dodają obsługę TLS 1.2 w uwierzytelnieniu 802.1X. Serwery uwierzytelniające obsługujące standard TLS 1.2 mogą wymagać następujących uaktualnień zwiększających zgodność:
Cisco: ISE 2.3.0
FreeRADIUS: Uaktualnij do wersji 2.2.10 i 3.0.16.
Aruba ClearPass: Uaktualnij do wersji 6.6.x.
ArubaOS: Uaktualnij do wersji 6.5.3.4.
Microsoft: Windows Server 2012 - Network Policy Server.
Microsoft: Windows Server 2016 - Network Policy Server.
Aby uzyskać więcej informacji na temat sieci 802.1X, zobacz: Przyłączanie urządzeń Apple do sieci 802.1X.
WPA2/WPA3
Wszystkie platformy Apple obsługują uznane standardy uwierzytelniania Wi-Fi oraz protokoły szyfrowania, zapewniając uwierzytelniany dostęp i poufność połączeń z sieciami bezprzewodowymi.
WPA2 Personal
WPA2 Enterprise
WPA2/WPA3 Transitional
WPA3 Personal
WPA3 Enterprise
WPA3 Enterprise z zabezpieczeniem 192-bitowym
Aby zapoznać się z listą protokołów uwierzytelniania bezprzewodowego 802.1X, zobacz: Konfiguracje 802.1X na Macu.
Szyfrowanie FaceTime i iMessage
Systemy iOS, iPadOS, macOS i visionOS tworzą jednoznaczny identyfikator dla każdego użytkownika FaceTime i iMessage, co pomaga zapewniać szyfrowanie oraz prawidłowe kierowanie i nawiązywanie transmisji.