Använda inbyggda funktioner för nätverkssäkerhet för Apple-enheter
Apple-enheter har inbyggda nätverkssäkerhetstekniker som auktoriserar användare och bidrar till att skydda deras data vid överföring. Nätverkssäkerheten på Apple-enheter har stöd för:
Inbyggt IPsec, IKEv2, L2TP
Anpassad VPN via App Store-appar (iOS, iPadOS, visionOS)
Anpassad VPN via VPN-klienter från tredje part (macOS)
TLS-säkerhet (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) och DTLS
SSL/TLS med X.509-certifikat
WPA/WPA2/WPA3 Enterprise med 802.1X
Certifikatbaserad autentisering
Autentisering via delad hemlighet och Kerberos
RSA SecurID, CRYPTOCard (macOS)
Nätverksreläer i iOS, iPadOS, macOS och tvOS
Ett inbyggt relä i iOS 17, iPadOS 17, macOS 14 och tvOS 17 eller senare kan användas till att skydda trafik via en krypterad anslutning med HTTP/3 eller HTTP/2 som ett alternativ till VPN. Ett nätverksrelä är en särskild typ av proxy som är optimerad för prestanda och använder de senaste transport- och säkerhetsprotokollen. Det kan användas till att skydda TCP- och UDP-trafiken för en viss app, en hel enhet och vid anslutning till interna resurser. Flera nätverksrelän kan användas parallellt, inklusive Privat reläservice på iCloud, utan att en app krävs. Mer information finns i Använda nätverksrelän.
VPN och IPsec
Inom många företagsmiljöer används någon form av VPN-nätverk. Den här sortens nätverkstjänster kräver i regel minimal inställning och konfiguration för att fungera med Apple-enheter som integreras med många vanligt förekommande VPN-tekniker.
iOS, iPadOS, macOS, tvOS, watchOS och visionOS har stöd för IPsec-protokoll och autentiseringsmetoder. Du hittar mer information i VPN i översikt.
TLS
Det kryptografiska protokollet SSL 3 och det symmetriska chifferpaketet RC4 är märkta för utfasning i iOS 10 och macOS 10.12. Som förval är RC4-chifferpaket inte aktiverade för TLS-klienter eller -servrar som implementeras med Secure Transport-API:er. Av den anledningen kan de inte ansluta när RC4 är det enda tillgängliga chifferpaketet. Tjänster eller appar som kräver RC4 bör uppgraderas för användning med chifferpaket så att de blir säkrare.
Ytterligare säkerhetsförbättringar inkluderar:
Krav på signering av SMB-anslutningar (macOS)
I macOS 10.12 eller senare stöds AES som en krypteringsmetod för NFS med Kerberos (macOS)
TLS-säkerhet (TLS 1.2, TLS 1.3)
TLS 1.2 stöder både AES 128 och SHA-2.
SSL 3 (iOS, iPadOS, visionOS)
DTLS (macOS)
Safari, Kalender, Mail och andra internetappar använder dessa för att skapa en krypterad kommunikationskanal mellan iOS, iPadOS, macOS och visionOS och företagstjänster.
Du kan också ställa in lägsta och högsta TLS-version för 802.1X-nätverksnyttolasten med EAP-TLS, EAP-TTLS, PEAP och EAP-FAST. Du kan t.ex. ställa in:
Båda till samma specifika TLS-version
Lägsta TLS-versionen till ett lägre värde och högsta TLS-versionen till ett högre värde, vilket sedan kommer att förhandlas med RADIUS-servern
Inget värde, vilket tillåter 802.1X-klienten att förhandla TLS-versionen med RADIUS-servern
iOS, iPadOS, macOS och visionOS kräver att serverns bladcertifikat är signerat med SHA-2-familjen av signaturalgoritmer och använder antingen en RSA-nyckel om minst 2048 bitar eller en ECC-nyckel om minst 256 bitar.
iOS 11, iPadOS 13.1, macOS 10.13 och visionOS 1.1 eller senare har stöd för TLS 1.2 i 802.1X-autentisering. Autentiseringsservrar med stöd för TLS 1.2 kan kräva följande uppdateringar för kompatibilitet:
Cisco: ISE 2.3.0
FreeRADIUS: Uppdatera till version 2.2.10 och 3.0.16.
Aruba ClearPass: Uppdatera till version 6.6.x.
ArubaOS: Uppdatera till version 6.5.3.4.
Microsoft: Windows Server 2012 – Network Policy Server.
Microsoft: Windows Server 2016 – Network Policy Server.
Mer information om 802.1X finns i Ansluta Apple-enheter till 802.1X-nätverk.
WPA2/WPA3
Alla Apple-plattformar har stöd för autentiserings- och krypteringsprotokoll av branschstandard för Wi-Fi som säkerställer autentiserad åtkomst och konfidentialitet vid anslutning till följande säkra trådlösa nätverk:
WPA Personal
WPA2 Enterprise
WPA2/WPA3 Transitional
WPA3 Personal
WPA3 Enterprise
WPA3 Enterprise 192-bitars säkerhet
Du kan se en lista med trådlösa 802.1X-autentiseringsprotokoll i 802.1X-konfigurationer för Mac.
FaceTime- och iMessage-kryptering
iOS, iPadOS, macOS och visionOS skapar ett unikt ID för varje användare av FaceTime och iMessage, vilket säkerställer att all kommunikation krypteras, skickas och ansluts korrekt.