VPN-yleiskatsaus Applen laitteiden käyttöönottoa varten
iOS, iPadOS, macOS, tvOS, watchOS ja visionOS voivat yhdistää suojatusti yksityisiin yritysverkkoihin vakiintuneilla standardien mukaisilla VPN-protokollilla.
Tuetut protokollat
iOS, iPadOS, macOS, tvOS, watchOS ja visionOS tukevat seuraavia protokollia ja todentamismenetelmiä:
IKEv2: Tuki sekä IPv4:lle että IPv6:lle ja seuraaville:
Todentamismenetelmät Jaettu salaisuus, varmenteet, EAP-TLS ja EAP-MSCHAPv2
Suite B ‑salausalgoritmit: ECDSA-varmenteet, ESP-salaus + GCM ja ECP-ryhmät Diffie-Hellman-ryhmälle
Lisäominaisuudet: MOBIKE, IKE-fragmentointi, palvelimen uudelleenohjaus, jaettu tunneli
iOS, iPadOS, macOS ja visionOS tukevat seuraavia protokollia ja todentamismenetelmiä:
L2TP over IPsec: Käyttäjän todentaminen MS-CHAP v2 -salasanalla, kaksiosaisella avaimella tai varmenteella ja koneen todentaminen jaetulla salaisuudella tai varmenteella
macOS voi myös käyttää Kerberosta koneen todentamiseen jaetulla salaisuudella tai varmenteella käytettäessä L2TP over IPsecia.
IPsec: Käyttäjän todentaminen salasanalla, kaksiosainen avain ja koneellinen todentaminen jaetun salaisuuden ja varmenteiden avulla
Jos organisaatio tukee näitä protokollia, Applen laitteiden yhdistämiseen organisaation VPN-verkkoon ei tarvita lisämäärityksiä tai muiden valmistajien appeja.
Tukeen sisältyvät sellaiset teknologiat kuten IPv6, välipalvelimet ja jaettu tunnelointi. Jaettu tunnelointi tarjoaa joustavan VPN-käyttökokemuksen organisaation verkkoihin yhdistettäessä.
Lisäksi muiden valmistajien kehittäjät voivat luoda verkkolaajennuskehystä käyttäen iOS:lle, iPadOS:lle, macOS:lle, tvOS:lle ja visionOS:lle räätälöidyn VPN-ratkaisun. Useat VPN-tarjoajat ovat luoneet appeja, jotka auttavat määrittämään Apple-laitteet heidän ratkaisujaan varten. Kun haluat määrittää laitteen tiettyä ratkaisua varten, asenna toimittajan oheisappeja ja tarjoa tarvittaessa asetusprofiili, jossa on tarvittavat asetukset.
VPN On Demand
iOS:ssä, iPadOS:ssä, macOS:ssä ja tvOS:ssä Applen laitteet voivat muodostaa VPN On Demandilla yhteyden automaattisesti tarvittaessa. Se vaatii todentamismenetelmän, johon ei liity käyttäjän toimintaa, kuten varmennepohjaisen todentamisen. VPN On Demand määritetään OnDemandRules-avaimella asetusprofiilin VPN-tietosisällössä. Sääntöjä käytetään kahdessa vaiheessa:
Verkon tunnistusvaihe: Määrittelee VPN-vaatimukset, joita käytetään laitteen ensisijaisen verkkoyhteyden vaihtuessa.
Yhteyden arviointivaihe: Määrittelee VPN-vaatimukset yhteyspyynnöille domain-nimiin tarpeen mukaan.
Sääntöjä voidaan käyttää esimerkiksi:
Tunnistamaan, kun Applen laite on yhteydessä sisäiseen verkkoon, ja VPN:ää ei tarvita.
Tunnistamaan, kun käytetään tuntematonta Wi-Fi-verkkoa ja vaatimaan VPN:ää.
Käynnistämään VPN:n, kun määritetyn domain-nimen DNS-pyyntö epäonnistuu.
Appikohtainen VPN
iOS:ssä, iPadOS:sä, macOS:ssä, watchOS:ssä ja visionOS 1.1:ssä voidaan muodostaa VPN-yhteyksiä appikohtaisesti. Tämä tarjoaa entistä tarkemman hallinnan sen suhteen, mikä data kulkee VPN:n kautta. Kyky erottaa liikenne appitasolla mahdollistaa henkilökohtaisten tietojen ja organisaatiolle kuuluvien tietojen erottamisen. Se tarjoaa turvallisen verkon sisäisessä käytössä oleville apeille ja suojaa samalla henkilökohtaisen laitteen toimintojen yksityisyyden.
Appikohtainen VPN sallii jokaisen mobiililaitteiden hallintaratkaisulla (MDM) hallitun apin kommunikoida yksityisen verkon kanssa suojatun tunnelin kautta. Samalla se estää hallitsemattomia appeja käyttämästä yksityistä verkkoa. Datan suojausta voidaan parantaa määrittämällä hallittuihin appeihin erilaiset VPN-yhteydet. Esimerkiksi myyntitarjousappi voisi käyttää aivan eri datakeskusta kuin ostoreskontra-appi.
Kun olet luonut appikohtaisen VPN:n jollekin VPN-määritykselle, sinun pitää yhdistää kyseinen yhteys appeihin, jotka käyttävät sitä, jotta appien verkkoliikenne suojataan. Tämä tehdään appikohtaiseen VPN:ään yhdistävällä tietosisällöllä (macOS) tai määrittämällä VPN-määritys apin asennuskomennossa (iOS, iPadOS, macOS, visionOS 1.1).
Appikohtainen VPN voidaan määrittää toimimaan iOS:n, iPadOS:n, watchOS:n ja visionOS 1.1:n sisäisen IKEv2 VPN ‑asiakkaan kanssa. Jos haluat tietoja appikohtaisen VPN:n tuesta räätälöidyissä VPN-ratkaisuissa, ota yhteys VPN-toimittajiin.
Huomaa: Appikohtaisen VPN:n käyttäminen iOS:ssä, iPadOS:ssä, watchOS 10:ssä ja visionOS 1.1:ssä edellyttää, että appi on MDM:n hallitsema.
Aina päällä -VPN
IKEv2:lle saatavilla olevalla Aina päällä ‑VPN:llä organisaatio voi hallita täydellisesti iOS:n ja iPadOS:n liikennettä tunneloimalla kaiken IP-liikenteen takaisin organisaatioon. Organisaatiot voivat nyt tarkkailla ja suodattaa laitteiden välillä tapahtuvaa liikennettä, suojata organisaation verkossa olevia tietoja ja rajoittaa laitteiden pääsyä internetiin.
Aina päällä -VPN:n aktivointia varten laitteiden on oltava valvottuja. Kun Aina päällä -VPN -profiili on asennettu laitteeseen, Aina päällä -VPN aktivoituu automaattisesti ilman käyttäjän toimenpiteitä ja pysyy aktiivisena (myös aina kun laite käynnistetään uudelleen), kunnes Aina päällä -VPN-profiilin asennus poistetaan.
Kun Aina päällä -VPN on aktiivisena laitteella, VPN-tunnelin rakentaminen ja purkaminen on sidottu liitännän IP:n tilaan. Kun liittymä pääsee IP-verkon ulottuville, se pyrkii muodostamaan tunnelin. Kun liitännän IP-tila heikkenee, tunneli puretaan.
Aina päällä -VPN tukee myös liitäntäkohtaisia tunneleita. Laitteissa, joissa on mobiiliyhteys, on yksi tunneli jokaiselle aktiiviselle IP-liitännälle (yksi mobiililiitännälle ja yksi Wi-Fi-liitännälle). Niin kauan kuin VPN-tunnelit ovat olemassa, kaikki IP-liikenne tunneloidaan. Liikenteellä tarkoitetaan kaikkea IP-reititettyä ja IP-alueista liikennettä (liikennettä saman valmistajan apista, kuten FaceTime ja Viestit). Jos tunneleita ei ole, kaikki IP-liikenne hylätään.
Kaikki laitteelta tunneloitu liikenne saavuttaa VPN-palvelimen. Voit käyttää valinnaisia suodatus- ja valvontakäsittelyjä ennen liikenteen ohjaamista kohteeseensa organisaation verkossa tai internetissä. Vastaavasti laitteeseen tuleva liikenne reititetään organisaation VPN-palvelimelle, joissa voidaan käyttää suodatus- ja/tai valvontaprosesseja ennen laitteelle ohjaamista.
Huomaa: Apple Watch ‑laiteparia ei tueta Aina päällä ‑VPN:n kanssa.
Läpinäkyvä välipalvelin
Läpinäkyvät välipalvelimet ovat erityinen VPN-tyyppi macOS:lle, ja niitä voidaan käyttää eri tavoin verkkoliikenteen valvomiseen ja muuttamiseen. Tavallisia käyttökohteita ovat sisällönsuodatusratkaisut ja välittäjät, joiden avulla käytetään pilvipalveluita. Erilaisten käyttötarkoitusten vuoksi kannattaa määritellä, missä järjestyksessä välipalvelimet näkevät liikenteen ja käsittelevät sitä. Esimerkiksi verkkoliikennettä suodattavan välipalvelimen pitäisi toimia ennen liikennettä salaavaa välipalvelinta. Se toteutetaan määrittelemällä järjestys VPN-tietosisällössä.