Огляд VPN для розгортуваних пристроїв Apple
Захищений доступ до приватних корпоративних мереж можливий у системах iOS, iPadOS, macOS, tvOS, watchOS і visionOS із залученням усталених галузевих протоколів віртуальних приватних мереж (VPN).
Підтримувані протоколи
Системи iOS, iPadOS, macOS, tvOS, watchOS і visionOS підтримують такі протоколи й методи автентифікації:
IKEv2. Підтримка як IPv4, так і IPv6, а також:
Методи автентифікації: спільний секрет, сертифікати, EAP-TLS і EAP-MSCHAPv2
Криптографія Suite B: сертифікати ECDSA, шифрування ESP з GCM і групи ECP для групи Діффі-Геллмана
Додаткові функції: MOBIKE, фрагментація IKE, перенаправлення сервера, розділений тунель
Системи iOS, iPadOS, macOS і visionOS також підтримують такі протоколи й методи автентифікації:
L2TP через IPsec. Автентифікація користувача паролем MS-CHAP v2, двофакторним токеном, сертифікатом, автентифікація комп’ютера спільним секретом або сертифікатом.
macOS також може використовувати апаратну автентифікацію Kerberos за допомогою спільного секрета або сертифіката з L2TP через IPsec.
IPsec. Автентифікація користувача паролем, двофакторним токеном, апаратна автентифікація спільним секретом і сертифікатами.
Якщо ваша організація підтримує один ці протоколи, для підключення пристроїв Apple до вашої VPN-мережі додаткової конфігурації або сторонніх програм не потрібно.
Підтримка включає такі технології як IPv6, проксі-сервери і розділене тунелювання. Розділене тунелювання забезпечує гнучкість використання VPN під час під’єднання до мереж організації.
Крім того, бібліотека Network Extension дозволяє стороннім розробникам створювати власні рішення VPN для iOS, iPadOS, macOS, tvOS і visionOS. Кілька постачальників VPN створили програми, які допомагають конфігурувати пристрої Apple для їхніх рішень. Щоб налаштувати пристрій для певного рішення, інсталюйте супровідну програму постачальника та за потреби надайте профіль конфігурації з потрібними параметрами.
VPN на вимогу
У системах iOS, iPadOS, macOS і tvOS VPN на вимогу дозволяє пристроям Apple автоматично встановлювати зв’язок тоді, коли в цьому виникає потреба. Це потребує такого методу автентифікації, який не залучає користувача, як-от автентифікація на основі сертифіката. VPN за потреби налаштовується за допомогою ключа OnDemandRules в наборі даних VPN профілю конфігурації. Правила застосовуються на двох етапах:
Етап виявлення мережі. Визначає вимоги мережі VPN, які застосовуються, коли змінюється основне мережеве під’єднання пристрою.
Етап перевірки з’єднання. Визначає вимоги мережі VPN для запитів з’єднання до доменних імен на основі потреби.
Правила можуть застосовуватися для таких цілей:
Визначення, коли пристрій Apple під’єднаний до внутрішньої мережі, й VPN не потрібна
Визначення, коли використовується невідома мережа Wi-Fi і потрібна VPN
Запуск VPN у разі невдалого запиту DNS щодо вказаного доменного імені
VPN на одну програму
У системах iOS, iPadOS, macOS, watchOS і visionOS 1.1 з’єднання VPN можна налагоджувати для окремих програм, що дає можливість більш скрупульозного відстеження даних, які передаються через VPN. Можливість розділення трафіку на рівні програм дозволяє відділити персональні дані від корпоративних, таким чином забезпечуючи захищену роботу в мережі для програм внутрішнього вжитку та зберігаючи приватність користування персональними пристроями.
VPN на одну програму дає змогу програмам під керуванням рішення MDM (керування мобільними пристроями) обмінюватися даними з приватною мережею через захищений тунель, запобігаючи використанню приватної мережі іншими некерованими програмами. Керовані програми можна конфігурувати для різних з’єднань VPN для додаткового захисту даних. Наприклад, програма комерційних пропозицій може використовувати цілком інший центр обробки даних, аніж програма розрахунків із постачальниками.
Після створення VPN на одну програму для будь-якої конфігурації VPN потрібно асоціювати з’єднання з програмами, які використовують його для захищеного мережевого трафіку. Це слід реалізовувати в наборі корисних даних зіставлення VPN на одну програму (macOS) або шляхом указання конфігурації VPN командою інсталювання програми (iOS, iPadOS, macOS, visionOS 1.1).
VPN на одну програму можна конфігурувати для роботи з вбудованим VPN-клієнтом IKEv2 в iOS, iPadOS, watchOS і visionOS 1.1. Щоб отримати детальнішу інформацію про підтримку VPN на одну програму в конкретному рішенні VPN, зверніться до постачальників VPN.
Примітка. Щоб використовувати VPN на одну програму в iOS, iPadOS, watchOS 10 і visionOS 1.1, програма має бути керована рішенням MDM.
Постійна VPN
Функція «Постійна VPN», доступна для IKEv2, дає вашій організації можливість постійного контролю трафіку iOS та iPadOS шляхом тунелювання всього IP-трафіку назад до організації. Тепер ваша організація може відстежувати й фільтрувати весь трафік з пристрою та на нього, захищати дані в мережі й обмежувати доступ пристроїв до інтернету.
Для активації функції «Постійна VPN» пристрій має бути під наглядом. Після інсталювання профілю постійної VPN на пристрої ця функція запускається автоматично без участі користувача й залишається ввімкненою (зокрема після перезапусків) до видалення профілю постійної VPN із пристрою.
Якщо на пристрої активовано постійну VPN, встановлення й переривання тунелю VPN пов’язане зі станом IP-інтерфейсу. Коли інтерфейс отримує доступ до мережі IP, він намагається встановити тунель. Якщо стан з’єднання IP-інтерфейсу слабне, тунель переривається.
Функція «Постійна VPN» також підтримує по-інтерфейсні тунелі. Для пристроїв із можливістю стільникового з’єднання створюється один тунель для кожного активного IP-інтерфейсу (один тунель для стільникового інтерфейсу та один для Wi-Fi). Поки тунелі VPN встановлені, весь IP-трафік тунелюється. Трафік включає весь IP-маршрутизований і весь IP-зонований трафік (трафік з основних програм, наприклад, FaceTime і Повідомлення). Якщо тунелі не встановлено, IP-трафік не відбувається.
Увесь трафік, який тунелюється з пристрою, скеровується на сервер VPN. Перед тим, як перескеровувати його до місця призначення в мережі організації чи в інтернеті, можна застосувати додаткові засоби фільтрування й моніторингу. Аналогічно, весь трафік на пристрій маршрутизується на сервер VPN організації, де перед скеруванням на пристрій до нього можна застосувати засоби моніторингу й фільтрування.
Примітка. Спарення Apple Watch не підтримується з Постійною VPN.
Прозорий проксі
Прозорі проксі — це спеціальний тип VPN на macOS, який можна використовувати в різні способи для відстеження і трансформування мережевого трафіку. Типовими прикладами використання є рішення для фільтрування вмісту і брокери для доступу до хмарних сервісів. Через різноманітність застосувань доречно визначити послідовність, у якій ці проксі бачитимуть і оброблятимуть трафік. Наприклад, можна викликати проксі, який фільтрує мережевий трафік до того, як викликати проксі для шифрування трафіку. Це можна зробити, визначивши порядок у наборі даних VPN.